El Libro Blanco del CISO - ISMS Forum · El Foro Económico Mundial en su Informe Global de Riesgos...
Transcript of El Libro Blanco del CISO - ISMS Forum · El Foro Económico Mundial en su Informe Global de Riesgos...
Copyright y derechos Este contenido estaacute protegido por las normas aplicables de propiedad intelectual
La presente es una publicacioacuten conjunta que pertenece al Instituto Nacional de Ciberseguridad (INCIBE) y a la Asociacioacuten Espantildeola para el Fomento de la Seguridad de la Informacioacuten ISMS Forum Spain y estaacute bajo una licencia Reconocimiento- No comercial - Si-nObraDerivada 40 Internacional de Creative Commons Por esta razoacuten estaacute permitido copiar distribuir y comunicar puacuteblicamente en cualquier medio o formato esta obra bajo las condiciones siguientes
ReconocimientoEl contenido de esta obra se puede reproducir total o parcialmente por terceros citando su procedencia y haciendo referencia expresa tanto a INCIBE como a ISMS Forum y a sus sitios web httpswwwincibees y httpwwwismsforumes Dicho reconocimiento no podraacute en ninguacuten caso sugerir que INCIBE o ISMS Forum prestan apoyo a dicho tercero o apoyan el uso que hace de su obra
Uso No ComercialLa obra puede ser distribuida copiada y exhibida mientras su uso no tenga fines comerciales Al reutilizar o distribuir la obra tiene que dejar bien claro los teacuterminos de la licencia de esta obra Alguna de estas condiciones pueden no aplicarse si se obtiene el permiso de INCIBE e ISMS Forum como titulares de los derechos de autor Texto completo de la licencia httpscreativecommons orglicensesby-nc-nd40deedes_ES
Sin obra derivadaNo se permite remezclar transformar ni generar obras derivadas de eacutesta ni se autoriza la difusioacuten del material modificado
El Libro Blanco del CISO
Direccioacuten y coordinacioacuten
ALBERTO HERNAacuteNDEZ Director General de INCIBEFRANCISCO LAacuteZARO Miembro de la Junta Directiva de ISMS Forum
GIANLUCA DrsquoANTONIO Presidente de ISMS Forum
Colaboradores
AacuteNGEL CAMPILLOAacuteNGEL PEacuteREZCARLES SOLEacute
CARLOS A SAIZDANIEL LARGACHA
ELENA MATILLAGEMMA DEacuteLER
GONZALO ASENSIOGUSTAVO LOZANO
IVAacuteN SAacuteNCHEZJAVIER SEVILLANO
JEacuteSUacuteS MEacuteRIDAJOSEacute RAMOacuteN MONLEOacuteN
JOSEacute ANTONIO PEREAMANUEL FERNAacuteNDEZ
MARCOS GOacuteMEZMARIANO J BENITO
PEDRO DIacuteAZRAFAEL SANTOS
RAFAEL HERNAacuteNDEZRAMOacuteN ORTIZ
ROBERTO BARATTA
Revisores
ALFONSO LOacutePEZ-ESCOBARELENA MATILLA
GUSTAVO LOZANO
Editor
DANIEL GARCIacuteA SAacuteNCHEZ Director General de ISMS Forum
Disentildeo y maquetacioacuten
CYNTHIA RICA GOacuteMEZ Responsable de comunicacioacuten de ISMS Forum
IacuteNDICEI INTRODUCCIOacuteN Y CONTEXTO ACTUAL I1- Tendencias y factores Externos I2- Marco normativo nacional e internacional II ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA II1- Funciones del CISO II2- Actividades del CISO II3- Actividades del CISO no directamente relacionadas con TI II4- El CISO como Directivo III LA FUNCIOacuteN DE LA SEGURIDAD DE LA INFORMACIOacuteNIII1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Control TI a Gestioacuten de riesgos y cumplimiento III2- Gobierno de la Seguridad de la Informacioacuten IV MODELOS ORGANIZATIVOS Y RELACIONALES IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea IV4- Modelo 4 El CISO dentro de la alta direccioacuten IV5- Modelo 5 Modelo Organizativo IV6- Caracteriacutesticas de un CISO IV7-iquestA quieacuten debe reportar el CISO IV8- Tipos de empresas IV9- Recomendaciones V PERFIL DEL CISO VI FORMACIOacuteN Y CAPACITACIOacuteN VII SOFT SKILLS VII1- Capacitacioacuten y habilidades directivas VI CONCLUSIONES ABREVIATURAS Y ACROacuteNIMOS ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
89
19212627
28
28
353637383941424445
464849515354
INTRODUCCIOacuteN Y CONTEXTO ACTUALI
El libro Blanco del CISO 5
El Foro Econoacutemico Mundial en su Informe Global de Riesgos del 2018 identifica
dentro de los riesgos maacutes preocupantes a nivel mundial por su probabilidad
de ocurrencia e impacto a los ciberataques y al robo o uso fraudulento de los
datos Siendo por ello una de las grandes preocupaciones a nivel global tan-
to en el entorno puacuteblico como privado La dependencia de las redes y de los
sistemas de informacioacuten para el bienestar la estabilidad y el crecimiento de
las Naciones es un hecho Como tambieacuten lo es la interdependencia de tecno-
logiacuteas e infraestructuras
Por otro lado la tendencia Fast Cheap amp Easy en la gestioacuten de Sistemas de In-
formacioacuten para reducir el tiempo y coste de la provisioacuten de nuevas soluciones
y que se apoya en metodologiacuteas aacutegiles (Lean DevOps Agile) supone tanto un
reto en la elaboracioacuten de los Anaacutelisis de Riesgos como en el control del de-
sarrollo y hace maacutes importante la necesidad de tener en cuenta la Seguridad
de la Informacioacuten desde el disentildeo y durante todo el ciclo de vida de cualquier
Producto o Servicio
Todos los actores estaacuten preparaacutendose a este nuevo escenario La Administra-
cioacuten estaacute centrando sus esfuerzos en la definicioacuten de distintos marcos regula-
torios La Estrategia de Ciberseguridad el Reglamento General de Proteccioacuten
de Datos Personales el Real Decreto-Ley de Seguridad de las Redes y los Sis-
temas de informacioacuten el Esquema Nacional de Seguridad la normativa sobre
proteccioacuten de infraestructuras criacuteticas y la normativa de seguridad privada To-
das ellas con un factor comuacuten establecer un conjunto de criterios o medidas
de seguridad a aplicar
Para las empresas los nuevos paradigmas como son la Transformacioacuten Digital
el uso de soluciones basadas en la Nube o Cloud Computing la incorporacioacuten
de dispositivos IoT el Big Data suponen un cambio en la forma de entender
coacutemo la tecnologiacutea facilita el negocio
I1- Tendencias y factores Externos
8
El libro Blanco del CISO 9
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Es por todo ello por lo que el papel del Responsable de Seguridad de la In-
formacioacuten (CISO por sus siglas en ingleacutes de Chief Information Security Officer)
cobra un papel trascendental en las organizaciones del siglo XXI La seguridad
por defecto desde el disentildeo y la debida gestioacuten de los riesgos de seguridad
son elementos clave para garantizar la supervivencia de las organizaciones
del futuro y en general de la sociedad Debe ser capaz de poder cohesionar
la estrategia en materia de Seguridad de la Informacioacuten de las organizaciones
Esteacute donde esteacute sin lugar a dudas el CISO es una figura clave dentro de las or-
ganizaciones debiendo definirse claramente sus atribuciones y su perfil como
ya se hizo anteriormente con otros roles como el del CIO el CFO (Chief Finan-
cial Officer) o Auditoriacutea Interna
La presente seccioacuten tiene como objetivo orientar al CISO en las leyes y norma-
tivas que deberaacute tener en consideracioacuten para ejercer su actividad Es preciso
resentildear que la normativa aplicable a su funcioacuten dependeraacute del modelo orga-
nizativo de la empresa naturaleza y sector de actividad
Este libro blanco recoge el rol y funciones del CISO del siglo XXI como facilita-
dor del negocio para alcanzar sus objetivos y aumentar su resiliencia
No obstante dependiendo de cada entidad estas funciones del CISO pueden
ser asignadas a otros roles (o junto con otros roles) dentro de la estructura or-
ganizativa Algunos de estos roles son el del CRO (Chief Risk Officer) el COO
(Chief Operating Officer) CIO (Chief Information Officer) DPO (Data Protection
Officer) CDO (Chief Data Officer) CTSO (Chief Technology Security Officer) o
CSO (Chief Security Officer) En todo caso seraacute cada entidad quien deba de-
finir el modelo organizativo y de relacioacuten en materia de seguridad dentro de
su organizacioacuten prevaleciendo el principio de segregacioacuten de funciones En
funcioacuten de la madurez de las entidades y su sensibilidad ante la seguridad de
la informacioacuten el rol del CISO se encontraraacute jeraacuterquicamente enmarcado en la
alta direccioacuten (formando parte de los comiteacutes de direccioacuten) en la Direccioacuten de
IT - Tecnologiacuteas de la Informacioacuten en la Direccioacuten de Riesgos o en Seguridad
Corporativa
I2- Marco normativo nacional e internacional
El libro Blanco del CISO10
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Los siguientes apartados identifican las aacutereas de actividad sujetas a regulacioacuten
o normativa En cada una se incluye una introduccioacuten sobre cuaacutel es su objeto y
su aacutembito de aplicacioacuten No obstante teniendo en cuenta que el marco legisla-
tivo y regulatorio se encuentran en constante evolucioacuten se recomienda como
buena praacutectica mantenerse actualizado en cada momento de la regulacioacuten de
aplicacioacuten
El Anexo I incluye una lista detallada de referencias a leyes reglamentos y nor-
mativas tanto vigentes como en proyecto referidos a la elaboracioacuten de este
libro blanco
La LEY 112007 DE 22 DE JUNIO DE ACCESO ELECTROacuteNICO DE LOS CIU-
DADANOS A LOS SERVICIOS PUacuteBLICOS ESTABLECIOacute EL ESQUEMA NACIO-
NAL DE SEGURIDAD (en adelante ENS) que aprobado mediante Real Decreto
32010 de 8 de enero tiene por objeto determinar la poliacutetica de seguridad
en la utilizacioacuten de medios electroacutenicos en su aacutembito de aplicacioacuten y estaraacute
constituido por los principios baacutesicos y requisitos miacutenimos que permitan una
proteccioacuten adecuada de la informacioacuten
En 2015 se publicoacute la modificacioacuten del Esquema Nacional de Seguridad a tra-
veacutes del REAL DECRETO 9512015 DE 23 DE OCTUBRE
El ENS tiene por objeto determinar la poliacutetica de seguridad en la utilizacioacuten de
medios electroacutenicos en el aacutembito de la Administracioacuten Electroacutenica en Espantildea
Establece los principios baacutesicos y requisitos miacutenimos que permitan una protec-
cioacuten adecuada de la informacioacuten
En el ENS encontramos la primera referencia legislativa de la figura del respon-
sable de seguridad de la informacioacuten ldquoEl responsable de la informacioacuten de-
terminaraacute los requisitos de la informacioacuten tratada el responsable del servicio
determinaraacute los requisitos de los servicios prestados y el responsable de se-
guridad determinaraacute las decisiones para satisfacer los requisitos de seguridad
de la informacioacuten y de los serviciosrdquo (RD_32010 8 de enero 2010)
Esquema Nacional de Seguridad
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 11
Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-
neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-
traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las
relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS
En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-
tituye un marco de referencia uacutetil para el establecimiento de una adecuada
poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-
mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el
manejo de informacioacuten clasificada
REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y
por el que se deroga la Directiva 9546CE
LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE
LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-
gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)
El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)
puede acarrear sanciones significativas
La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten
Europea y es de obligado cumplimiento para todas las empresas cuando re-
copilan guardan tratan o gestionan datos personales de los ciudadanos de
la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre
coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten
de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-
de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del
nuevo proyecto de ley de Proteccioacuten de Datos
Proteccioacuten de datos
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El Libro Blanco del CISO
Direccioacuten y coordinacioacuten
ALBERTO HERNAacuteNDEZ Director General de INCIBEFRANCISCO LAacuteZARO Miembro de la Junta Directiva de ISMS Forum
GIANLUCA DrsquoANTONIO Presidente de ISMS Forum
Colaboradores
AacuteNGEL CAMPILLOAacuteNGEL PEacuteREZCARLES SOLEacute
CARLOS A SAIZDANIEL LARGACHA
ELENA MATILLAGEMMA DEacuteLER
GONZALO ASENSIOGUSTAVO LOZANO
IVAacuteN SAacuteNCHEZJAVIER SEVILLANO
JEacuteSUacuteS MEacuteRIDAJOSEacute RAMOacuteN MONLEOacuteN
JOSEacute ANTONIO PEREAMANUEL FERNAacuteNDEZ
MARCOS GOacuteMEZMARIANO J BENITO
PEDRO DIacuteAZRAFAEL SANTOS
RAFAEL HERNAacuteNDEZRAMOacuteN ORTIZ
ROBERTO BARATTA
Revisores
ALFONSO LOacutePEZ-ESCOBARELENA MATILLA
GUSTAVO LOZANO
Editor
DANIEL GARCIacuteA SAacuteNCHEZ Director General de ISMS Forum
Disentildeo y maquetacioacuten
CYNTHIA RICA GOacuteMEZ Responsable de comunicacioacuten de ISMS Forum
IacuteNDICEI INTRODUCCIOacuteN Y CONTEXTO ACTUAL I1- Tendencias y factores Externos I2- Marco normativo nacional e internacional II ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA II1- Funciones del CISO II2- Actividades del CISO II3- Actividades del CISO no directamente relacionadas con TI II4- El CISO como Directivo III LA FUNCIOacuteN DE LA SEGURIDAD DE LA INFORMACIOacuteNIII1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Control TI a Gestioacuten de riesgos y cumplimiento III2- Gobierno de la Seguridad de la Informacioacuten IV MODELOS ORGANIZATIVOS Y RELACIONALES IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea IV4- Modelo 4 El CISO dentro de la alta direccioacuten IV5- Modelo 5 Modelo Organizativo IV6- Caracteriacutesticas de un CISO IV7-iquestA quieacuten debe reportar el CISO IV8- Tipos de empresas IV9- Recomendaciones V PERFIL DEL CISO VI FORMACIOacuteN Y CAPACITACIOacuteN VII SOFT SKILLS VII1- Capacitacioacuten y habilidades directivas VI CONCLUSIONES ABREVIATURAS Y ACROacuteNIMOS ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
89
19212627
28
28
353637383941424445
464849515354
INTRODUCCIOacuteN Y CONTEXTO ACTUALI
El libro Blanco del CISO 5
El Foro Econoacutemico Mundial en su Informe Global de Riesgos del 2018 identifica
dentro de los riesgos maacutes preocupantes a nivel mundial por su probabilidad
de ocurrencia e impacto a los ciberataques y al robo o uso fraudulento de los
datos Siendo por ello una de las grandes preocupaciones a nivel global tan-
to en el entorno puacuteblico como privado La dependencia de las redes y de los
sistemas de informacioacuten para el bienestar la estabilidad y el crecimiento de
las Naciones es un hecho Como tambieacuten lo es la interdependencia de tecno-
logiacuteas e infraestructuras
Por otro lado la tendencia Fast Cheap amp Easy en la gestioacuten de Sistemas de In-
formacioacuten para reducir el tiempo y coste de la provisioacuten de nuevas soluciones
y que se apoya en metodologiacuteas aacutegiles (Lean DevOps Agile) supone tanto un
reto en la elaboracioacuten de los Anaacutelisis de Riesgos como en el control del de-
sarrollo y hace maacutes importante la necesidad de tener en cuenta la Seguridad
de la Informacioacuten desde el disentildeo y durante todo el ciclo de vida de cualquier
Producto o Servicio
Todos los actores estaacuten preparaacutendose a este nuevo escenario La Administra-
cioacuten estaacute centrando sus esfuerzos en la definicioacuten de distintos marcos regula-
torios La Estrategia de Ciberseguridad el Reglamento General de Proteccioacuten
de Datos Personales el Real Decreto-Ley de Seguridad de las Redes y los Sis-
temas de informacioacuten el Esquema Nacional de Seguridad la normativa sobre
proteccioacuten de infraestructuras criacuteticas y la normativa de seguridad privada To-
das ellas con un factor comuacuten establecer un conjunto de criterios o medidas
de seguridad a aplicar
Para las empresas los nuevos paradigmas como son la Transformacioacuten Digital
el uso de soluciones basadas en la Nube o Cloud Computing la incorporacioacuten
de dispositivos IoT el Big Data suponen un cambio en la forma de entender
coacutemo la tecnologiacutea facilita el negocio
I1- Tendencias y factores Externos
8
El libro Blanco del CISO 9
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Es por todo ello por lo que el papel del Responsable de Seguridad de la In-
formacioacuten (CISO por sus siglas en ingleacutes de Chief Information Security Officer)
cobra un papel trascendental en las organizaciones del siglo XXI La seguridad
por defecto desde el disentildeo y la debida gestioacuten de los riesgos de seguridad
son elementos clave para garantizar la supervivencia de las organizaciones
del futuro y en general de la sociedad Debe ser capaz de poder cohesionar
la estrategia en materia de Seguridad de la Informacioacuten de las organizaciones
Esteacute donde esteacute sin lugar a dudas el CISO es una figura clave dentro de las or-
ganizaciones debiendo definirse claramente sus atribuciones y su perfil como
ya se hizo anteriormente con otros roles como el del CIO el CFO (Chief Finan-
cial Officer) o Auditoriacutea Interna
La presente seccioacuten tiene como objetivo orientar al CISO en las leyes y norma-
tivas que deberaacute tener en consideracioacuten para ejercer su actividad Es preciso
resentildear que la normativa aplicable a su funcioacuten dependeraacute del modelo orga-
nizativo de la empresa naturaleza y sector de actividad
Este libro blanco recoge el rol y funciones del CISO del siglo XXI como facilita-
dor del negocio para alcanzar sus objetivos y aumentar su resiliencia
No obstante dependiendo de cada entidad estas funciones del CISO pueden
ser asignadas a otros roles (o junto con otros roles) dentro de la estructura or-
ganizativa Algunos de estos roles son el del CRO (Chief Risk Officer) el COO
(Chief Operating Officer) CIO (Chief Information Officer) DPO (Data Protection
Officer) CDO (Chief Data Officer) CTSO (Chief Technology Security Officer) o
CSO (Chief Security Officer) En todo caso seraacute cada entidad quien deba de-
finir el modelo organizativo y de relacioacuten en materia de seguridad dentro de
su organizacioacuten prevaleciendo el principio de segregacioacuten de funciones En
funcioacuten de la madurez de las entidades y su sensibilidad ante la seguridad de
la informacioacuten el rol del CISO se encontraraacute jeraacuterquicamente enmarcado en la
alta direccioacuten (formando parte de los comiteacutes de direccioacuten) en la Direccioacuten de
IT - Tecnologiacuteas de la Informacioacuten en la Direccioacuten de Riesgos o en Seguridad
Corporativa
I2- Marco normativo nacional e internacional
El libro Blanco del CISO10
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Los siguientes apartados identifican las aacutereas de actividad sujetas a regulacioacuten
o normativa En cada una se incluye una introduccioacuten sobre cuaacutel es su objeto y
su aacutembito de aplicacioacuten No obstante teniendo en cuenta que el marco legisla-
tivo y regulatorio se encuentran en constante evolucioacuten se recomienda como
buena praacutectica mantenerse actualizado en cada momento de la regulacioacuten de
aplicacioacuten
El Anexo I incluye una lista detallada de referencias a leyes reglamentos y nor-
mativas tanto vigentes como en proyecto referidos a la elaboracioacuten de este
libro blanco
La LEY 112007 DE 22 DE JUNIO DE ACCESO ELECTROacuteNICO DE LOS CIU-
DADANOS A LOS SERVICIOS PUacuteBLICOS ESTABLECIOacute EL ESQUEMA NACIO-
NAL DE SEGURIDAD (en adelante ENS) que aprobado mediante Real Decreto
32010 de 8 de enero tiene por objeto determinar la poliacutetica de seguridad
en la utilizacioacuten de medios electroacutenicos en su aacutembito de aplicacioacuten y estaraacute
constituido por los principios baacutesicos y requisitos miacutenimos que permitan una
proteccioacuten adecuada de la informacioacuten
En 2015 se publicoacute la modificacioacuten del Esquema Nacional de Seguridad a tra-
veacutes del REAL DECRETO 9512015 DE 23 DE OCTUBRE
El ENS tiene por objeto determinar la poliacutetica de seguridad en la utilizacioacuten de
medios electroacutenicos en el aacutembito de la Administracioacuten Electroacutenica en Espantildea
Establece los principios baacutesicos y requisitos miacutenimos que permitan una protec-
cioacuten adecuada de la informacioacuten
En el ENS encontramos la primera referencia legislativa de la figura del respon-
sable de seguridad de la informacioacuten ldquoEl responsable de la informacioacuten de-
terminaraacute los requisitos de la informacioacuten tratada el responsable del servicio
determinaraacute los requisitos de los servicios prestados y el responsable de se-
guridad determinaraacute las decisiones para satisfacer los requisitos de seguridad
de la informacioacuten y de los serviciosrdquo (RD_32010 8 de enero 2010)
Esquema Nacional de Seguridad
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 11
Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-
neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-
traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las
relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS
En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-
tituye un marco de referencia uacutetil para el establecimiento de una adecuada
poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-
mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el
manejo de informacioacuten clasificada
REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y
por el que se deroga la Directiva 9546CE
LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE
LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-
gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)
El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)
puede acarrear sanciones significativas
La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten
Europea y es de obligado cumplimiento para todas las empresas cuando re-
copilan guardan tratan o gestionan datos personales de los ciudadanos de
la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre
coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten
de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-
de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del
nuevo proyecto de ley de Proteccioacuten de Datos
Proteccioacuten de datos
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Direccioacuten y coordinacioacuten
ALBERTO HERNAacuteNDEZ Director General de INCIBEFRANCISCO LAacuteZARO Miembro de la Junta Directiva de ISMS Forum
GIANLUCA DrsquoANTONIO Presidente de ISMS Forum
Colaboradores
AacuteNGEL CAMPILLOAacuteNGEL PEacuteREZCARLES SOLEacute
CARLOS A SAIZDANIEL LARGACHA
ELENA MATILLAGEMMA DEacuteLER
GONZALO ASENSIOGUSTAVO LOZANO
IVAacuteN SAacuteNCHEZJAVIER SEVILLANO
JEacuteSUacuteS MEacuteRIDAJOSEacute RAMOacuteN MONLEOacuteN
JOSEacute ANTONIO PEREAMANUEL FERNAacuteNDEZ
MARCOS GOacuteMEZMARIANO J BENITO
PEDRO DIacuteAZRAFAEL SANTOS
RAFAEL HERNAacuteNDEZRAMOacuteN ORTIZ
ROBERTO BARATTA
Revisores
ALFONSO LOacutePEZ-ESCOBARELENA MATILLA
GUSTAVO LOZANO
Editor
DANIEL GARCIacuteA SAacuteNCHEZ Director General de ISMS Forum
Disentildeo y maquetacioacuten
CYNTHIA RICA GOacuteMEZ Responsable de comunicacioacuten de ISMS Forum
IacuteNDICEI INTRODUCCIOacuteN Y CONTEXTO ACTUAL I1- Tendencias y factores Externos I2- Marco normativo nacional e internacional II ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA II1- Funciones del CISO II2- Actividades del CISO II3- Actividades del CISO no directamente relacionadas con TI II4- El CISO como Directivo III LA FUNCIOacuteN DE LA SEGURIDAD DE LA INFORMACIOacuteNIII1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Control TI a Gestioacuten de riesgos y cumplimiento III2- Gobierno de la Seguridad de la Informacioacuten IV MODELOS ORGANIZATIVOS Y RELACIONALES IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea IV4- Modelo 4 El CISO dentro de la alta direccioacuten IV5- Modelo 5 Modelo Organizativo IV6- Caracteriacutesticas de un CISO IV7-iquestA quieacuten debe reportar el CISO IV8- Tipos de empresas IV9- Recomendaciones V PERFIL DEL CISO VI FORMACIOacuteN Y CAPACITACIOacuteN VII SOFT SKILLS VII1- Capacitacioacuten y habilidades directivas VI CONCLUSIONES ABREVIATURAS Y ACROacuteNIMOS ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
89
19212627
28
28
353637383941424445
464849515354
INTRODUCCIOacuteN Y CONTEXTO ACTUALI
El libro Blanco del CISO 5
El Foro Econoacutemico Mundial en su Informe Global de Riesgos del 2018 identifica
dentro de los riesgos maacutes preocupantes a nivel mundial por su probabilidad
de ocurrencia e impacto a los ciberataques y al robo o uso fraudulento de los
datos Siendo por ello una de las grandes preocupaciones a nivel global tan-
to en el entorno puacuteblico como privado La dependencia de las redes y de los
sistemas de informacioacuten para el bienestar la estabilidad y el crecimiento de
las Naciones es un hecho Como tambieacuten lo es la interdependencia de tecno-
logiacuteas e infraestructuras
Por otro lado la tendencia Fast Cheap amp Easy en la gestioacuten de Sistemas de In-
formacioacuten para reducir el tiempo y coste de la provisioacuten de nuevas soluciones
y que se apoya en metodologiacuteas aacutegiles (Lean DevOps Agile) supone tanto un
reto en la elaboracioacuten de los Anaacutelisis de Riesgos como en el control del de-
sarrollo y hace maacutes importante la necesidad de tener en cuenta la Seguridad
de la Informacioacuten desde el disentildeo y durante todo el ciclo de vida de cualquier
Producto o Servicio
Todos los actores estaacuten preparaacutendose a este nuevo escenario La Administra-
cioacuten estaacute centrando sus esfuerzos en la definicioacuten de distintos marcos regula-
torios La Estrategia de Ciberseguridad el Reglamento General de Proteccioacuten
de Datos Personales el Real Decreto-Ley de Seguridad de las Redes y los Sis-
temas de informacioacuten el Esquema Nacional de Seguridad la normativa sobre
proteccioacuten de infraestructuras criacuteticas y la normativa de seguridad privada To-
das ellas con un factor comuacuten establecer un conjunto de criterios o medidas
de seguridad a aplicar
Para las empresas los nuevos paradigmas como son la Transformacioacuten Digital
el uso de soluciones basadas en la Nube o Cloud Computing la incorporacioacuten
de dispositivos IoT el Big Data suponen un cambio en la forma de entender
coacutemo la tecnologiacutea facilita el negocio
I1- Tendencias y factores Externos
8
El libro Blanco del CISO 9
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Es por todo ello por lo que el papel del Responsable de Seguridad de la In-
formacioacuten (CISO por sus siglas en ingleacutes de Chief Information Security Officer)
cobra un papel trascendental en las organizaciones del siglo XXI La seguridad
por defecto desde el disentildeo y la debida gestioacuten de los riesgos de seguridad
son elementos clave para garantizar la supervivencia de las organizaciones
del futuro y en general de la sociedad Debe ser capaz de poder cohesionar
la estrategia en materia de Seguridad de la Informacioacuten de las organizaciones
Esteacute donde esteacute sin lugar a dudas el CISO es una figura clave dentro de las or-
ganizaciones debiendo definirse claramente sus atribuciones y su perfil como
ya se hizo anteriormente con otros roles como el del CIO el CFO (Chief Finan-
cial Officer) o Auditoriacutea Interna
La presente seccioacuten tiene como objetivo orientar al CISO en las leyes y norma-
tivas que deberaacute tener en consideracioacuten para ejercer su actividad Es preciso
resentildear que la normativa aplicable a su funcioacuten dependeraacute del modelo orga-
nizativo de la empresa naturaleza y sector de actividad
Este libro blanco recoge el rol y funciones del CISO del siglo XXI como facilita-
dor del negocio para alcanzar sus objetivos y aumentar su resiliencia
No obstante dependiendo de cada entidad estas funciones del CISO pueden
ser asignadas a otros roles (o junto con otros roles) dentro de la estructura or-
ganizativa Algunos de estos roles son el del CRO (Chief Risk Officer) el COO
(Chief Operating Officer) CIO (Chief Information Officer) DPO (Data Protection
Officer) CDO (Chief Data Officer) CTSO (Chief Technology Security Officer) o
CSO (Chief Security Officer) En todo caso seraacute cada entidad quien deba de-
finir el modelo organizativo y de relacioacuten en materia de seguridad dentro de
su organizacioacuten prevaleciendo el principio de segregacioacuten de funciones En
funcioacuten de la madurez de las entidades y su sensibilidad ante la seguridad de
la informacioacuten el rol del CISO se encontraraacute jeraacuterquicamente enmarcado en la
alta direccioacuten (formando parte de los comiteacutes de direccioacuten) en la Direccioacuten de
IT - Tecnologiacuteas de la Informacioacuten en la Direccioacuten de Riesgos o en Seguridad
Corporativa
I2- Marco normativo nacional e internacional
El libro Blanco del CISO10
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Los siguientes apartados identifican las aacutereas de actividad sujetas a regulacioacuten
o normativa En cada una se incluye una introduccioacuten sobre cuaacutel es su objeto y
su aacutembito de aplicacioacuten No obstante teniendo en cuenta que el marco legisla-
tivo y regulatorio se encuentran en constante evolucioacuten se recomienda como
buena praacutectica mantenerse actualizado en cada momento de la regulacioacuten de
aplicacioacuten
El Anexo I incluye una lista detallada de referencias a leyes reglamentos y nor-
mativas tanto vigentes como en proyecto referidos a la elaboracioacuten de este
libro blanco
La LEY 112007 DE 22 DE JUNIO DE ACCESO ELECTROacuteNICO DE LOS CIU-
DADANOS A LOS SERVICIOS PUacuteBLICOS ESTABLECIOacute EL ESQUEMA NACIO-
NAL DE SEGURIDAD (en adelante ENS) que aprobado mediante Real Decreto
32010 de 8 de enero tiene por objeto determinar la poliacutetica de seguridad
en la utilizacioacuten de medios electroacutenicos en su aacutembito de aplicacioacuten y estaraacute
constituido por los principios baacutesicos y requisitos miacutenimos que permitan una
proteccioacuten adecuada de la informacioacuten
En 2015 se publicoacute la modificacioacuten del Esquema Nacional de Seguridad a tra-
veacutes del REAL DECRETO 9512015 DE 23 DE OCTUBRE
El ENS tiene por objeto determinar la poliacutetica de seguridad en la utilizacioacuten de
medios electroacutenicos en el aacutembito de la Administracioacuten Electroacutenica en Espantildea
Establece los principios baacutesicos y requisitos miacutenimos que permitan una protec-
cioacuten adecuada de la informacioacuten
En el ENS encontramos la primera referencia legislativa de la figura del respon-
sable de seguridad de la informacioacuten ldquoEl responsable de la informacioacuten de-
terminaraacute los requisitos de la informacioacuten tratada el responsable del servicio
determinaraacute los requisitos de los servicios prestados y el responsable de se-
guridad determinaraacute las decisiones para satisfacer los requisitos de seguridad
de la informacioacuten y de los serviciosrdquo (RD_32010 8 de enero 2010)
Esquema Nacional de Seguridad
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 11
Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-
neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-
traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las
relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS
En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-
tituye un marco de referencia uacutetil para el establecimiento de una adecuada
poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-
mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el
manejo de informacioacuten clasificada
REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y
por el que se deroga la Directiva 9546CE
LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE
LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-
gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)
El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)
puede acarrear sanciones significativas
La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten
Europea y es de obligado cumplimiento para todas las empresas cuando re-
copilan guardan tratan o gestionan datos personales de los ciudadanos de
la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre
coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten
de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-
de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del
nuevo proyecto de ley de Proteccioacuten de Datos
Proteccioacuten de datos
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
IacuteNDICEI INTRODUCCIOacuteN Y CONTEXTO ACTUAL I1- Tendencias y factores Externos I2- Marco normativo nacional e internacional II ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA II1- Funciones del CISO II2- Actividades del CISO II3- Actividades del CISO no directamente relacionadas con TI II4- El CISO como Directivo III LA FUNCIOacuteN DE LA SEGURIDAD DE LA INFORMACIOacuteNIII1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Control TI a Gestioacuten de riesgos y cumplimiento III2- Gobierno de la Seguridad de la Informacioacuten IV MODELOS ORGANIZATIVOS Y RELACIONALES IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea IV4- Modelo 4 El CISO dentro de la alta direccioacuten IV5- Modelo 5 Modelo Organizativo IV6- Caracteriacutesticas de un CISO IV7-iquestA quieacuten debe reportar el CISO IV8- Tipos de empresas IV9- Recomendaciones V PERFIL DEL CISO VI FORMACIOacuteN Y CAPACITACIOacuteN VII SOFT SKILLS VII1- Capacitacioacuten y habilidades directivas VI CONCLUSIONES ABREVIATURAS Y ACROacuteNIMOS ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
89
19212627
28
28
353637383941424445
464849515354
INTRODUCCIOacuteN Y CONTEXTO ACTUALI
El libro Blanco del CISO 5
El Foro Econoacutemico Mundial en su Informe Global de Riesgos del 2018 identifica
dentro de los riesgos maacutes preocupantes a nivel mundial por su probabilidad
de ocurrencia e impacto a los ciberataques y al robo o uso fraudulento de los
datos Siendo por ello una de las grandes preocupaciones a nivel global tan-
to en el entorno puacuteblico como privado La dependencia de las redes y de los
sistemas de informacioacuten para el bienestar la estabilidad y el crecimiento de
las Naciones es un hecho Como tambieacuten lo es la interdependencia de tecno-
logiacuteas e infraestructuras
Por otro lado la tendencia Fast Cheap amp Easy en la gestioacuten de Sistemas de In-
formacioacuten para reducir el tiempo y coste de la provisioacuten de nuevas soluciones
y que se apoya en metodologiacuteas aacutegiles (Lean DevOps Agile) supone tanto un
reto en la elaboracioacuten de los Anaacutelisis de Riesgos como en el control del de-
sarrollo y hace maacutes importante la necesidad de tener en cuenta la Seguridad
de la Informacioacuten desde el disentildeo y durante todo el ciclo de vida de cualquier
Producto o Servicio
Todos los actores estaacuten preparaacutendose a este nuevo escenario La Administra-
cioacuten estaacute centrando sus esfuerzos en la definicioacuten de distintos marcos regula-
torios La Estrategia de Ciberseguridad el Reglamento General de Proteccioacuten
de Datos Personales el Real Decreto-Ley de Seguridad de las Redes y los Sis-
temas de informacioacuten el Esquema Nacional de Seguridad la normativa sobre
proteccioacuten de infraestructuras criacuteticas y la normativa de seguridad privada To-
das ellas con un factor comuacuten establecer un conjunto de criterios o medidas
de seguridad a aplicar
Para las empresas los nuevos paradigmas como son la Transformacioacuten Digital
el uso de soluciones basadas en la Nube o Cloud Computing la incorporacioacuten
de dispositivos IoT el Big Data suponen un cambio en la forma de entender
coacutemo la tecnologiacutea facilita el negocio
I1- Tendencias y factores Externos
8
El libro Blanco del CISO 9
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Es por todo ello por lo que el papel del Responsable de Seguridad de la In-
formacioacuten (CISO por sus siglas en ingleacutes de Chief Information Security Officer)
cobra un papel trascendental en las organizaciones del siglo XXI La seguridad
por defecto desde el disentildeo y la debida gestioacuten de los riesgos de seguridad
son elementos clave para garantizar la supervivencia de las organizaciones
del futuro y en general de la sociedad Debe ser capaz de poder cohesionar
la estrategia en materia de Seguridad de la Informacioacuten de las organizaciones
Esteacute donde esteacute sin lugar a dudas el CISO es una figura clave dentro de las or-
ganizaciones debiendo definirse claramente sus atribuciones y su perfil como
ya se hizo anteriormente con otros roles como el del CIO el CFO (Chief Finan-
cial Officer) o Auditoriacutea Interna
La presente seccioacuten tiene como objetivo orientar al CISO en las leyes y norma-
tivas que deberaacute tener en consideracioacuten para ejercer su actividad Es preciso
resentildear que la normativa aplicable a su funcioacuten dependeraacute del modelo orga-
nizativo de la empresa naturaleza y sector de actividad
Este libro blanco recoge el rol y funciones del CISO del siglo XXI como facilita-
dor del negocio para alcanzar sus objetivos y aumentar su resiliencia
No obstante dependiendo de cada entidad estas funciones del CISO pueden
ser asignadas a otros roles (o junto con otros roles) dentro de la estructura or-
ganizativa Algunos de estos roles son el del CRO (Chief Risk Officer) el COO
(Chief Operating Officer) CIO (Chief Information Officer) DPO (Data Protection
Officer) CDO (Chief Data Officer) CTSO (Chief Technology Security Officer) o
CSO (Chief Security Officer) En todo caso seraacute cada entidad quien deba de-
finir el modelo organizativo y de relacioacuten en materia de seguridad dentro de
su organizacioacuten prevaleciendo el principio de segregacioacuten de funciones En
funcioacuten de la madurez de las entidades y su sensibilidad ante la seguridad de
la informacioacuten el rol del CISO se encontraraacute jeraacuterquicamente enmarcado en la
alta direccioacuten (formando parte de los comiteacutes de direccioacuten) en la Direccioacuten de
IT - Tecnologiacuteas de la Informacioacuten en la Direccioacuten de Riesgos o en Seguridad
Corporativa
I2- Marco normativo nacional e internacional
El libro Blanco del CISO10
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Los siguientes apartados identifican las aacutereas de actividad sujetas a regulacioacuten
o normativa En cada una se incluye una introduccioacuten sobre cuaacutel es su objeto y
su aacutembito de aplicacioacuten No obstante teniendo en cuenta que el marco legisla-
tivo y regulatorio se encuentran en constante evolucioacuten se recomienda como
buena praacutectica mantenerse actualizado en cada momento de la regulacioacuten de
aplicacioacuten
El Anexo I incluye una lista detallada de referencias a leyes reglamentos y nor-
mativas tanto vigentes como en proyecto referidos a la elaboracioacuten de este
libro blanco
La LEY 112007 DE 22 DE JUNIO DE ACCESO ELECTROacuteNICO DE LOS CIU-
DADANOS A LOS SERVICIOS PUacuteBLICOS ESTABLECIOacute EL ESQUEMA NACIO-
NAL DE SEGURIDAD (en adelante ENS) que aprobado mediante Real Decreto
32010 de 8 de enero tiene por objeto determinar la poliacutetica de seguridad
en la utilizacioacuten de medios electroacutenicos en su aacutembito de aplicacioacuten y estaraacute
constituido por los principios baacutesicos y requisitos miacutenimos que permitan una
proteccioacuten adecuada de la informacioacuten
En 2015 se publicoacute la modificacioacuten del Esquema Nacional de Seguridad a tra-
veacutes del REAL DECRETO 9512015 DE 23 DE OCTUBRE
El ENS tiene por objeto determinar la poliacutetica de seguridad en la utilizacioacuten de
medios electroacutenicos en el aacutembito de la Administracioacuten Electroacutenica en Espantildea
Establece los principios baacutesicos y requisitos miacutenimos que permitan una protec-
cioacuten adecuada de la informacioacuten
En el ENS encontramos la primera referencia legislativa de la figura del respon-
sable de seguridad de la informacioacuten ldquoEl responsable de la informacioacuten de-
terminaraacute los requisitos de la informacioacuten tratada el responsable del servicio
determinaraacute los requisitos de los servicios prestados y el responsable de se-
guridad determinaraacute las decisiones para satisfacer los requisitos de seguridad
de la informacioacuten y de los serviciosrdquo (RD_32010 8 de enero 2010)
Esquema Nacional de Seguridad
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 11
Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-
neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-
traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las
relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS
En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-
tituye un marco de referencia uacutetil para el establecimiento de una adecuada
poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-
mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el
manejo de informacioacuten clasificada
REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y
por el que se deroga la Directiva 9546CE
LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE
LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-
gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)
El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)
puede acarrear sanciones significativas
La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten
Europea y es de obligado cumplimiento para todas las empresas cuando re-
copilan guardan tratan o gestionan datos personales de los ciudadanos de
la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre
coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten
de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-
de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del
nuevo proyecto de ley de Proteccioacuten de Datos
Proteccioacuten de datos
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
INTRODUCCIOacuteN Y CONTEXTO ACTUALI
El libro Blanco del CISO 5
El Foro Econoacutemico Mundial en su Informe Global de Riesgos del 2018 identifica
dentro de los riesgos maacutes preocupantes a nivel mundial por su probabilidad
de ocurrencia e impacto a los ciberataques y al robo o uso fraudulento de los
datos Siendo por ello una de las grandes preocupaciones a nivel global tan-
to en el entorno puacuteblico como privado La dependencia de las redes y de los
sistemas de informacioacuten para el bienestar la estabilidad y el crecimiento de
las Naciones es un hecho Como tambieacuten lo es la interdependencia de tecno-
logiacuteas e infraestructuras
Por otro lado la tendencia Fast Cheap amp Easy en la gestioacuten de Sistemas de In-
formacioacuten para reducir el tiempo y coste de la provisioacuten de nuevas soluciones
y que se apoya en metodologiacuteas aacutegiles (Lean DevOps Agile) supone tanto un
reto en la elaboracioacuten de los Anaacutelisis de Riesgos como en el control del de-
sarrollo y hace maacutes importante la necesidad de tener en cuenta la Seguridad
de la Informacioacuten desde el disentildeo y durante todo el ciclo de vida de cualquier
Producto o Servicio
Todos los actores estaacuten preparaacutendose a este nuevo escenario La Administra-
cioacuten estaacute centrando sus esfuerzos en la definicioacuten de distintos marcos regula-
torios La Estrategia de Ciberseguridad el Reglamento General de Proteccioacuten
de Datos Personales el Real Decreto-Ley de Seguridad de las Redes y los Sis-
temas de informacioacuten el Esquema Nacional de Seguridad la normativa sobre
proteccioacuten de infraestructuras criacuteticas y la normativa de seguridad privada To-
das ellas con un factor comuacuten establecer un conjunto de criterios o medidas
de seguridad a aplicar
Para las empresas los nuevos paradigmas como son la Transformacioacuten Digital
el uso de soluciones basadas en la Nube o Cloud Computing la incorporacioacuten
de dispositivos IoT el Big Data suponen un cambio en la forma de entender
coacutemo la tecnologiacutea facilita el negocio
I1- Tendencias y factores Externos
8
El libro Blanco del CISO 9
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Es por todo ello por lo que el papel del Responsable de Seguridad de la In-
formacioacuten (CISO por sus siglas en ingleacutes de Chief Information Security Officer)
cobra un papel trascendental en las organizaciones del siglo XXI La seguridad
por defecto desde el disentildeo y la debida gestioacuten de los riesgos de seguridad
son elementos clave para garantizar la supervivencia de las organizaciones
del futuro y en general de la sociedad Debe ser capaz de poder cohesionar
la estrategia en materia de Seguridad de la Informacioacuten de las organizaciones
Esteacute donde esteacute sin lugar a dudas el CISO es una figura clave dentro de las or-
ganizaciones debiendo definirse claramente sus atribuciones y su perfil como
ya se hizo anteriormente con otros roles como el del CIO el CFO (Chief Finan-
cial Officer) o Auditoriacutea Interna
La presente seccioacuten tiene como objetivo orientar al CISO en las leyes y norma-
tivas que deberaacute tener en consideracioacuten para ejercer su actividad Es preciso
resentildear que la normativa aplicable a su funcioacuten dependeraacute del modelo orga-
nizativo de la empresa naturaleza y sector de actividad
Este libro blanco recoge el rol y funciones del CISO del siglo XXI como facilita-
dor del negocio para alcanzar sus objetivos y aumentar su resiliencia
No obstante dependiendo de cada entidad estas funciones del CISO pueden
ser asignadas a otros roles (o junto con otros roles) dentro de la estructura or-
ganizativa Algunos de estos roles son el del CRO (Chief Risk Officer) el COO
(Chief Operating Officer) CIO (Chief Information Officer) DPO (Data Protection
Officer) CDO (Chief Data Officer) CTSO (Chief Technology Security Officer) o
CSO (Chief Security Officer) En todo caso seraacute cada entidad quien deba de-
finir el modelo organizativo y de relacioacuten en materia de seguridad dentro de
su organizacioacuten prevaleciendo el principio de segregacioacuten de funciones En
funcioacuten de la madurez de las entidades y su sensibilidad ante la seguridad de
la informacioacuten el rol del CISO se encontraraacute jeraacuterquicamente enmarcado en la
alta direccioacuten (formando parte de los comiteacutes de direccioacuten) en la Direccioacuten de
IT - Tecnologiacuteas de la Informacioacuten en la Direccioacuten de Riesgos o en Seguridad
Corporativa
I2- Marco normativo nacional e internacional
El libro Blanco del CISO10
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Los siguientes apartados identifican las aacutereas de actividad sujetas a regulacioacuten
o normativa En cada una se incluye una introduccioacuten sobre cuaacutel es su objeto y
su aacutembito de aplicacioacuten No obstante teniendo en cuenta que el marco legisla-
tivo y regulatorio se encuentran en constante evolucioacuten se recomienda como
buena praacutectica mantenerse actualizado en cada momento de la regulacioacuten de
aplicacioacuten
El Anexo I incluye una lista detallada de referencias a leyes reglamentos y nor-
mativas tanto vigentes como en proyecto referidos a la elaboracioacuten de este
libro blanco
La LEY 112007 DE 22 DE JUNIO DE ACCESO ELECTROacuteNICO DE LOS CIU-
DADANOS A LOS SERVICIOS PUacuteBLICOS ESTABLECIOacute EL ESQUEMA NACIO-
NAL DE SEGURIDAD (en adelante ENS) que aprobado mediante Real Decreto
32010 de 8 de enero tiene por objeto determinar la poliacutetica de seguridad
en la utilizacioacuten de medios electroacutenicos en su aacutembito de aplicacioacuten y estaraacute
constituido por los principios baacutesicos y requisitos miacutenimos que permitan una
proteccioacuten adecuada de la informacioacuten
En 2015 se publicoacute la modificacioacuten del Esquema Nacional de Seguridad a tra-
veacutes del REAL DECRETO 9512015 DE 23 DE OCTUBRE
El ENS tiene por objeto determinar la poliacutetica de seguridad en la utilizacioacuten de
medios electroacutenicos en el aacutembito de la Administracioacuten Electroacutenica en Espantildea
Establece los principios baacutesicos y requisitos miacutenimos que permitan una protec-
cioacuten adecuada de la informacioacuten
En el ENS encontramos la primera referencia legislativa de la figura del respon-
sable de seguridad de la informacioacuten ldquoEl responsable de la informacioacuten de-
terminaraacute los requisitos de la informacioacuten tratada el responsable del servicio
determinaraacute los requisitos de los servicios prestados y el responsable de se-
guridad determinaraacute las decisiones para satisfacer los requisitos de seguridad
de la informacioacuten y de los serviciosrdquo (RD_32010 8 de enero 2010)
Esquema Nacional de Seguridad
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 11
Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-
neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-
traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las
relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS
En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-
tituye un marco de referencia uacutetil para el establecimiento de una adecuada
poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-
mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el
manejo de informacioacuten clasificada
REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y
por el que se deroga la Directiva 9546CE
LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE
LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-
gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)
El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)
puede acarrear sanciones significativas
La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten
Europea y es de obligado cumplimiento para todas las empresas cuando re-
copilan guardan tratan o gestionan datos personales de los ciudadanos de
la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre
coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten
de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-
de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del
nuevo proyecto de ley de Proteccioacuten de Datos
Proteccioacuten de datos
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 9
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Es por todo ello por lo que el papel del Responsable de Seguridad de la In-
formacioacuten (CISO por sus siglas en ingleacutes de Chief Information Security Officer)
cobra un papel trascendental en las organizaciones del siglo XXI La seguridad
por defecto desde el disentildeo y la debida gestioacuten de los riesgos de seguridad
son elementos clave para garantizar la supervivencia de las organizaciones
del futuro y en general de la sociedad Debe ser capaz de poder cohesionar
la estrategia en materia de Seguridad de la Informacioacuten de las organizaciones
Esteacute donde esteacute sin lugar a dudas el CISO es una figura clave dentro de las or-
ganizaciones debiendo definirse claramente sus atribuciones y su perfil como
ya se hizo anteriormente con otros roles como el del CIO el CFO (Chief Finan-
cial Officer) o Auditoriacutea Interna
La presente seccioacuten tiene como objetivo orientar al CISO en las leyes y norma-
tivas que deberaacute tener en consideracioacuten para ejercer su actividad Es preciso
resentildear que la normativa aplicable a su funcioacuten dependeraacute del modelo orga-
nizativo de la empresa naturaleza y sector de actividad
Este libro blanco recoge el rol y funciones del CISO del siglo XXI como facilita-
dor del negocio para alcanzar sus objetivos y aumentar su resiliencia
No obstante dependiendo de cada entidad estas funciones del CISO pueden
ser asignadas a otros roles (o junto con otros roles) dentro de la estructura or-
ganizativa Algunos de estos roles son el del CRO (Chief Risk Officer) el COO
(Chief Operating Officer) CIO (Chief Information Officer) DPO (Data Protection
Officer) CDO (Chief Data Officer) CTSO (Chief Technology Security Officer) o
CSO (Chief Security Officer) En todo caso seraacute cada entidad quien deba de-
finir el modelo organizativo y de relacioacuten en materia de seguridad dentro de
su organizacioacuten prevaleciendo el principio de segregacioacuten de funciones En
funcioacuten de la madurez de las entidades y su sensibilidad ante la seguridad de
la informacioacuten el rol del CISO se encontraraacute jeraacuterquicamente enmarcado en la
alta direccioacuten (formando parte de los comiteacutes de direccioacuten) en la Direccioacuten de
IT - Tecnologiacuteas de la Informacioacuten en la Direccioacuten de Riesgos o en Seguridad
Corporativa
I2- Marco normativo nacional e internacional
El libro Blanco del CISO10
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Los siguientes apartados identifican las aacutereas de actividad sujetas a regulacioacuten
o normativa En cada una se incluye una introduccioacuten sobre cuaacutel es su objeto y
su aacutembito de aplicacioacuten No obstante teniendo en cuenta que el marco legisla-
tivo y regulatorio se encuentran en constante evolucioacuten se recomienda como
buena praacutectica mantenerse actualizado en cada momento de la regulacioacuten de
aplicacioacuten
El Anexo I incluye una lista detallada de referencias a leyes reglamentos y nor-
mativas tanto vigentes como en proyecto referidos a la elaboracioacuten de este
libro blanco
La LEY 112007 DE 22 DE JUNIO DE ACCESO ELECTROacuteNICO DE LOS CIU-
DADANOS A LOS SERVICIOS PUacuteBLICOS ESTABLECIOacute EL ESQUEMA NACIO-
NAL DE SEGURIDAD (en adelante ENS) que aprobado mediante Real Decreto
32010 de 8 de enero tiene por objeto determinar la poliacutetica de seguridad
en la utilizacioacuten de medios electroacutenicos en su aacutembito de aplicacioacuten y estaraacute
constituido por los principios baacutesicos y requisitos miacutenimos que permitan una
proteccioacuten adecuada de la informacioacuten
En 2015 se publicoacute la modificacioacuten del Esquema Nacional de Seguridad a tra-
veacutes del REAL DECRETO 9512015 DE 23 DE OCTUBRE
El ENS tiene por objeto determinar la poliacutetica de seguridad en la utilizacioacuten de
medios electroacutenicos en el aacutembito de la Administracioacuten Electroacutenica en Espantildea
Establece los principios baacutesicos y requisitos miacutenimos que permitan una protec-
cioacuten adecuada de la informacioacuten
En el ENS encontramos la primera referencia legislativa de la figura del respon-
sable de seguridad de la informacioacuten ldquoEl responsable de la informacioacuten de-
terminaraacute los requisitos de la informacioacuten tratada el responsable del servicio
determinaraacute los requisitos de los servicios prestados y el responsable de se-
guridad determinaraacute las decisiones para satisfacer los requisitos de seguridad
de la informacioacuten y de los serviciosrdquo (RD_32010 8 de enero 2010)
Esquema Nacional de Seguridad
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 11
Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-
neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-
traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las
relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS
En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-
tituye un marco de referencia uacutetil para el establecimiento de una adecuada
poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-
mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el
manejo de informacioacuten clasificada
REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y
por el que se deroga la Directiva 9546CE
LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE
LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-
gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)
El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)
puede acarrear sanciones significativas
La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten
Europea y es de obligado cumplimiento para todas las empresas cuando re-
copilan guardan tratan o gestionan datos personales de los ciudadanos de
la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre
coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten
de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-
de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del
nuevo proyecto de ley de Proteccioacuten de Datos
Proteccioacuten de datos
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO10
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Los siguientes apartados identifican las aacutereas de actividad sujetas a regulacioacuten
o normativa En cada una se incluye una introduccioacuten sobre cuaacutel es su objeto y
su aacutembito de aplicacioacuten No obstante teniendo en cuenta que el marco legisla-
tivo y regulatorio se encuentran en constante evolucioacuten se recomienda como
buena praacutectica mantenerse actualizado en cada momento de la regulacioacuten de
aplicacioacuten
El Anexo I incluye una lista detallada de referencias a leyes reglamentos y nor-
mativas tanto vigentes como en proyecto referidos a la elaboracioacuten de este
libro blanco
La LEY 112007 DE 22 DE JUNIO DE ACCESO ELECTROacuteNICO DE LOS CIU-
DADANOS A LOS SERVICIOS PUacuteBLICOS ESTABLECIOacute EL ESQUEMA NACIO-
NAL DE SEGURIDAD (en adelante ENS) que aprobado mediante Real Decreto
32010 de 8 de enero tiene por objeto determinar la poliacutetica de seguridad
en la utilizacioacuten de medios electroacutenicos en su aacutembito de aplicacioacuten y estaraacute
constituido por los principios baacutesicos y requisitos miacutenimos que permitan una
proteccioacuten adecuada de la informacioacuten
En 2015 se publicoacute la modificacioacuten del Esquema Nacional de Seguridad a tra-
veacutes del REAL DECRETO 9512015 DE 23 DE OCTUBRE
El ENS tiene por objeto determinar la poliacutetica de seguridad en la utilizacioacuten de
medios electroacutenicos en el aacutembito de la Administracioacuten Electroacutenica en Espantildea
Establece los principios baacutesicos y requisitos miacutenimos que permitan una protec-
cioacuten adecuada de la informacioacuten
En el ENS encontramos la primera referencia legislativa de la figura del respon-
sable de seguridad de la informacioacuten ldquoEl responsable de la informacioacuten de-
terminaraacute los requisitos de la informacioacuten tratada el responsable del servicio
determinaraacute los requisitos de los servicios prestados y el responsable de se-
guridad determinaraacute las decisiones para satisfacer los requisitos de seguridad
de la informacioacuten y de los serviciosrdquo (RD_32010 8 de enero 2010)
Esquema Nacional de Seguridad
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 11
Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-
neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-
traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las
relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS
En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-
tituye un marco de referencia uacutetil para el establecimiento de una adecuada
poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-
mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el
manejo de informacioacuten clasificada
REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y
por el que se deroga la Directiva 9546CE
LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE
LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-
gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)
El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)
puede acarrear sanciones significativas
La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten
Europea y es de obligado cumplimiento para todas las empresas cuando re-
copilan guardan tratan o gestionan datos personales de los ciudadanos de
la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre
coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten
de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-
de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del
nuevo proyecto de ley de Proteccioacuten de Datos
Proteccioacuten de datos
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 11
Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-
neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-
traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las
relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS
En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-
tituye un marco de referencia uacutetil para el establecimiento de una adecuada
poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-
mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el
manejo de informacioacuten clasificada
REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que
respecta al tratamiento de datos personales y a la libre circulacioacuten de estos
datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y
por el que se deroga la Directiva 9546CE
LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE
LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-
gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)
El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)
puede acarrear sanciones significativas
La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten
Europea y es de obligado cumplimiento para todas las empresas cuando re-
copilan guardan tratan o gestionan datos personales de los ciudadanos de
la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre
coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten
de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-
de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del
nuevo proyecto de ley de Proteccioacuten de Datos
Proteccioacuten de datos
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO12
La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-
gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-
tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles
con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del
modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-
ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten
y por tanto el CISO siempre deberaacute tenerla en consideracioacuten
DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de
julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel
comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su
correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-
GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN
La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en
Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto
de directivas comunitarias se ha de transponer en leyes nacionales en todos
los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones
El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-
lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades
control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten
La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-
guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de
la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten
agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten
y sistema financiero y tributario Regula la seguridad de redes y sistemas de
informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y
servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-
vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de
Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I
Directiva NIS (Network and Information Systems)
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 13
Es importante destacar que el RD 122018 dice en su artiacuteculo 163
Para referencias concretas veacutease Directiva NIS en el Anexo I
ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-
dad competente en el plazo que reglamentariamente se establezca la perso-
na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten
como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones
especiacuteficas seraacuten las previstas reglamentariamenterdquo
La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la
prestacioacuten de actividades y servicios de seguridad privada que desarrollados
por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas
para la proteccioacuten de personas y bienes Igualmente regula las investigaciones
privadas que se efectuacuteen sobre aqueacutellas o eacutestos
Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO
y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para
elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-
nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las
sinergias dentro de la organizacioacuten
1) En caso de incidentes en los que pudieran detectarse infracciones pe-
nales administrativas laborales tributarias etc existe la obligacioacuten de in-
formar a las Autoridades de Control El CISO deberaacute informar al Director
de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la
comunicacioacuten
2) En caso de incidentes que pudieran implicar compromiso de informacioacuten
sensible de la empresa gubernamental control de exportacioacuten o de datos
personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como
se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-
ma seccioacuten)
Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten
Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad
para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y
recursos de seguridad privada disponibles entre otras
Ley de Seguridad Privada
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO14
Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas
Ley de Proteccioacuten e Infraestructuras Criacuteticas
3) En caso de investigaciones ya sea por incidentes relacionados con ma-
las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-
gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen
la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-
sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-
nadores de empleados inspeccioacuten de correo electroacutenico para garantizar
que dichas investigaciones sean legiacutetimas
En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad
privada doacutende se incluyen expresamente referencias a las actividades de Se-
guridad Informaacutetica y Ciberseguridad
En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-
das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 7042011 de 20 de mayo)
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las
Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-
cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-
cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras criacuteticas
Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los
organismos gestores y propietarios de dichas infraestructuras frente a ata-
ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la
poblacioacuten
En la Ley y en su posterior RD no se menciona la figura del responsable de
Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-
cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-
tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO
suplente
Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 15
La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura
del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de
relacionarse con la autoridad de control CNPIC
Para referencias concretas veacutease Secretos Comerciales en el Anexo I
La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas
a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no
divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa
es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual
que el resto de las directivas comunitarias se ha de transponer en leyes na-
cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus
disposiciones
Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero
extendida internacionalmente que regula las funciones financieras contables
y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-
tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos
Reguladores como Visa MasterCard AMEX
Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito
debito PCI-DSS define los requisitos miacutenimos de seguridad
Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-
miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear
un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-
bios fundamentales en la industria al dar acceso a terceros a la infraestructura
de los bancos
Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I
Secretos comerciales
Sector Financiero - Comercio
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO16
Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes
leyes y normativas
Las empresas del Sector Defensa que manejan informacioacuten gubernamental
clasificada estaacuten sujetas a las siguientes leyes y normativas
Para referencias concretas veacutease Sector Juego en el Anexo I
Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-
nes teacutecnicas relacionadas
Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-
nes penales
Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa
Para las empresas es aplicable el aacuterea de seguridad de la informa-
cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas
(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-
can las medidas de proteccioacuten dirigidas a las empresas y aplicables
por ellas con el objeto de garantizar razonablemente la confiden-
cialidad integridad y disponibilidad de la informacioacuten del Ministerio
manejada por eacutestas como consecuencia de su participacioacuten en pro-
gramas proyectos o contratos del Ministerio
Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-
cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)
Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash
NATO) De obligado cumplimiento para la ejecucioacuten de programas
OTAN clasificados (por ejemplo Eurofighter y NH90)
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-
tienen ademaacutes de recomendaciones para la seguridad el procedi-
miento y requerimientos de seguridad para acreditacioacuten de sistemas
para el manejo de informacioacuten clasificada
Sector Juego
Sector Defensa
INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-
tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de
programas OCCAR clasificados (por ejemplo A400M MMF MA-
LE-RPAS y Tiger)
Normativa ESA (European Space Agency) De obligado cumplimiento
para la ejecucioacuten de programas clasificados de la ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement
for European Defence Industrial Restructuration) El tratado FA EDIR
se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre
Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es
facilitar la reestructuracioacuten de la industria europea de defensa con
el fin de promover una base tecnoloacutegica e industrial maacutes potente y
competitiva
Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que
disponen las instituciones europeas para aplicar las poliacuteticas de la
Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-
plea principalmente como medio para armonizar las legislaciones
nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-
doles libertad respecto a los medios que hayan de aplicar para al-
canzarlas
El libro Blanco del CISO 17
Export Control
La disciplina de Export Control puede o no ser competencia del CISO en fun-
cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-
sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o
rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable
del cumplimiento normativo En cualquier caso tiene implicaciones directas
sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe
siempre tenerla en consideracioacuten
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-
tions Regula la exportacioacuten de material militar
Normativa US EAR (Export Administration Regulation ndash regula la ex-
portacioacuten de material de doble uso (militarcivil)
Reglamento espantildeol de control del comercio exterior de material de
defensa de otro material y de productos y tecnologiacuteas de doble uso
Normas de Export Control en la Unioacuten Europea u otros paiacuteses que
dispongan de legislacioacuten o normativa en esta materia
El libro Blanco del CISO18
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
Para referencias concretas veacutease Export Control en el Anexo I
Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados
Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-
nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-
exportada a terceros sin permiso del creador Algunas de ellas como la esta-
dounidense ITAR son muy restrictivas implican controles de nacionalidades
del personal y pueden conllevar significativas sanciones en caso de incumpli-
miento Algunas normativas de control de Exportacioacuten son
INTRODUCCIOacuteN Y CONTEXTO ACTUAL
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II
El libro Blanco del CISO 19
La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten
y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y
transmite buscando mantener la confidencialidad la disponibilidad e integri-
dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-
tende identificar las actividades del CISO
El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten
la capacidad y experiencia necesaria para alinear la seguridad de las redes y
sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-
teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute
en el desempentildeo de sus funciones y responsabilidades
Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de
las funciones responsabilidad del CISO Se pretende no obstante realizar una
relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que
consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-
cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten
II1- Funciones del CISO
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Las siguientes responsabilidades deben entenderse como la misioacuten principal
de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo
exigible para considerar que existe realmente un responsable de la seguridad
de la informacioacuten en una entidad
Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa
Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento
Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente
Velar e impulsar la identificacioacuten de requisitos de seguridad
Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)
Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas
Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten
Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)
Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten
Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten
Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten
Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos
El libro Blanco del CISO20
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
Las funciones descritas anteriormente son responsabilidad del CISO en todos
los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-
cioacuten a otros equipos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 21
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
II2- Actividades del CISO
Para llevar a cabo estas funciones son muchas las actividades que desarrolla
el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-
llan las funciones del CISO
Se ha tomado como marco de referencia el del NIST (National Institute of
Standards and Technology) que es en la actualidad el maacutes utilizado (existen
otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos
casos y modificandolo en otros
Conocer el contexto de negocio
Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten
Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten
Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad
Conocer los aspectosobligaciones normativos legales y contractuales aplicables
Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente
Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten
Identificar el nivel de riesgo aceptable para la Organizacioacuten
Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo
IDENTIFICAR
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO22
Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general
Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva
Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos
Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado
Disentildeo e implantacioacuten de la arquitectura de seguridad
Seguridad en el datoinformacioacuten
Seguridad en la infraestructura IT (perimetral redes servidores)
Seguridad en dispositivos de usuario
Seguridad en entornos Cloud
Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)
Gestioacuten proactiva de vulnerabilidades
Asegurar el cumplimiento normativo
Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten
Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD
PROTEGER
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 23
DETECTAR
Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc
Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones
Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)
Deteccioacuten de activos no controladosno corporativos
Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones
Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)
Elaboracioacuten de forenses
Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)
Threathunting
Defensa activa
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO24
RESPONDER Y RECUPERAR
Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten
Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que
Denunciar ante las autoridades competentes un ciberataque
Realizar los informes periciales y defenderlos en sede judicial (si procede)
Disentildear los playbooks de respuesta ante incidentes
Disentildear la respuesta automatizada ante casos de uso conocidos
Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas
Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 25
INFORMAR Y COORDINARSE
Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial
Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos
Coordinarse con otros centros de respuesta a incidentes
Colaborar en grupos de intereacutes en esta materia
Algunas organizaciones con mayor madurez recursos yo circunstancias
especiacuteficas pueden haber establecido varias funciones y roles dentro de su
organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin
perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad
del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten
para asegurar el cumplimiento de los objetivos de seguridad de la informa-
cioacuten
Finalmente destacaremos que es necesario que las Organizaciones definan
no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de
ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-
dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-
liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien
segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la
seguridad desde otra aacuterea
Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las
operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la
propia operacioacuten o de la merma de los activos TI por su propio uso
La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en
muchos casos necesaria para poder asumir en el mismo responsable roles
diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-
teccioacuten de Datos para una misma Organizacioacuten
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO26
La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-
dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos
TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten
en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten
en entornos no TI
Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-
sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten
de los distintos elementos y campos que son necesarios para asegurar la co-
rrecta gestioacuten de la seguridad de la informacioacuten
Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en
que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten
en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben
ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y
debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del
Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad
de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-
jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo
y que abarca todos los aspectos de la ldquoSEGURIDADrdquo
Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-
suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una
funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-
torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-
tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe
esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de
un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-
tioacuten de vulnerabilidadesrdquo
II3- Actividades del CISO no directamente relacionadas con TI
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 27
II4- El CISO como Directivo
Aunque muchas organizaciones consideran la figura del CISO como un recieacuten
llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-
nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-
pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan
con un responsable de la seguridad de la Informacioacuten y una estructura orga-
nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de
una figura cada vez maacutes demandada por las organizaciones a medida que se
convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten
de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-
ceros sea directamente o con colaboradores
En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la
informacioacuten en una organizacioacuten
Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de
seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-
near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-
vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos
de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los
Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)
Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como
el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en
otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de
datos y en otros ser un miembro permanente y activo como en el comiteacute de
riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice
su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de
la informacioacuten corporativa
Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos
significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-
cer un papel relevante y activo en ellos
ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO28
III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento
Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-
berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue
asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre
Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de
acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en
el CPD En este contexto el CISO era una persona operativa que aplicaba las
medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y
puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad
loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso
usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos
extendioacute su influencia pero siempre referido al control de acceso A continua-
cioacuten hubo un movimiento en el sentido de denominar a este departamento
como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el
foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y
por tanto a ver como un todo los diversos dispositivos que la componiacutean y
que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-
biacutea salido de tener a administradores de sistemas de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III
Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-
cesos de negocio de las organizaciones y por tanto esta figura ha dejado de
dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-
nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la
Seguridad de la Informacioacuten en la Organizacioacuten
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-
lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que
el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad
loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-
dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica
El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-
macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente
el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la
Sociedad
Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada
como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-
nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-
camente imposible encontrar un activo de informacioacuten que no se conecte
directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-
ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el
teacutermino se va fortaleciendo frente a otras denominaciones
Una vez conocido el contexto de la evolucioacuten del departamento de seguridad
de la informacioacuten tambieacuten es importante conocer los nombres de la figura
que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no
en Espantildea
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad
informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce
hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten
Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar
El libro Blanco del CISO 29
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-
guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa independientemente del sector
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Al principio como hemos visto en los nombres de los departamentos el CISO
(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir
ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-
tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son
imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de
decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de
los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten
No debemos olvidar que al final las empresas las componen trabajadores es
decir personas que se relacionan entre ellos con un mismo objetivo
Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo
(transversal) en la medida en la que todos los procesos de negocio se van
digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la
gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-
trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al
mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos
necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-
menazas
Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y
con diversidad de competencia seguacuten las diferentes organizaciones
El libro Blanco del CISO30
El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-
tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del
CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-
loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de
las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la
medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-
chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el
cumplimiento de este nuevo entorno regulatorio
En una realidad convergente donde la conectividad se convierte en un requi-
sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-
teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten
eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es
la seguridad confianza y resiliencia de los entornos y de las personas
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 31
Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual
se establecen los objetivos de la empresa y se determinan los medios para
alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura
y medios incluyen
III2- Gobierno de la Seguridad de la Informacioacuten
La estrategia corporativa global
Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos
Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-
bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-
cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de
las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora
ha de abordarse de manera corporativa
Las organizaciones han tenido que realizar una transformacioacuten radical con el
avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-
mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que
hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o
integridad de la informacioacuten puede causar dantildeos irreparables para las orga-
nizaciones
El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-
guridad de la informacioacuten con los objetivos y estrategias del negocio Debe
estar soportada por un sistema de control interno basado en el anaacutelisis de los
riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO32
Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-
lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten
A nivel general podemos hablar de dos tipos de estructuras organizativas
Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes
Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos
En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-
portancia las ciberamenazas que obligan a las organizaciones a reinventarse
en materia de seguridad ya que las herramientas protocolos y procesos tra-
dicionales han dejado de ser efectivos Proteger el centro de datos y controlar
el acceso a los recursos internos se han convertido en puntos estrateacutegicos a
tener en cuenta en cualquier organizacioacuten
Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-
nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad
de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la
organizacioacuten
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
DEPENDENCYHigh
Top-Down
Need-To-Know
Low
Distributed
Good-To-Know
ABSOLUTEMONARCHY
FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY
ACCOUNTABILITYAUTHORITY
INFORMATION DISTRIBUTION
VERTICAL BLENDED HORIZONTAL
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 33
De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar
las siguientes capas de entidades y responsabilidades
bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos
bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)
bull Operacioacuten Ejecuta los Procesos de seguridad
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-
gos que conlleva su actividad debe conocer las estrategias planes y medios
de que disponen para defenderse de un ciberataque debe comprender el
impacto potencial que puede tener un ciberataque en la organizacioacuten y debe
contar con planes de reporting para responder a tiempo y con solvencia a un
ciberataque ya que el tiempo de reaccioacuten es un factor clave
Gobierno deSeguridad
Gestioacuten deSeguridad
Gobierno
Gestioacuten
OperacionesPlataforma deOperaciones de Seguridad
Operacionesde TI
Manager
CISO
Nivel de proteccioacuten
Los mecanismos de vigilancia de que dispone
La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque
Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la
valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO34
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar
una gran visibilidad sobre el estado general de la seguridad de la informacioacuten
en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe
ser entendible conciso y comparable
El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-
terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en
su capacidad de influencia y concienciacioacuten
En el siguiente apartado veremos algunos de los diferentes modelos Organi-
zativos y relacionales
LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 35
MODELOS ORGANIZATIVOS Y RELACIONALES IV
En este modelo organizativo el CISO se encuentra en el departamento de tec-
nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse
produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-
daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-
temente importante como para dotarlo de personalidad propia La figura del
CISO en este modelo se considera como un administrador de los sistemas de
seguridad
IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea
Comunicacionesy SeguridadPerimetral
CEO
CxO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO36
El CISO cuenta con su propio departamento es decir existe dentro del organi-
grama el departamento de seguridad de la informacioacuten pero se adscribe a la
misma estructura jeraacuterquica dentro del departamento de tecnologiacutea
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-
cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten
estariacutean repartidas por el resto de los departamentos
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea
bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses
IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad
CEO
CxO
CIO
Produccioacuten Desarrollo CISO Infraestructura Arquitectura
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al
COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-
dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)
Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-
dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha
informacioacuten
Este modelo estaacute desplegado en organizaciones que apuestan por el CISO
como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha
representacioacuten estaacute definida en el CRO
IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 37
Ventajas
Inconvenientes
bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico
bull Menor visibilidadbull Posible conflicto de intereses
CEO
CxO COOCRO
COOCROCIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO38
Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-
siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-
reccioacuten Suele reportar al Director General presidente o consejero delegado
(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la informacioacuten
necesaria e imprescindible para el desarrollo del negocio
Las poliacuteticas y procedimientos de seguridad definidos por este departamento
directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-
dad con el CIO
IV4- Modelo 4 El CISO dentro de la alta direccioacuten
MODELOS ORGANIZATIVOS Y RELACIONALES
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo
CEO
CxO COOCRO
CIO
Produccioacuten Desarrollo Infraestructura Arquitectura
CISO
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Ventajas
Inconvenientes
bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses
bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica
El libro Blanco del CISO 39
MODELOS ORGANIZATIVOS Y RELACIONALES
En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten
de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-
plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten
de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea
externa
IV5- Modelo 5 Modelo Organizativo
Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-
ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o
de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran
tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3
liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa
estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-
nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el
CISO
En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas
de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos
de forma global en la organizacioacuten
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO40
A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-
ridad basado en la segregacioacuten del control y de las funciones sin conflicto de
intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes
cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-
troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea
con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica
lo que se ha realizado tanto en la primera como la segunda liacutenea para que
sean independientes con funciones distintas y buscando el mayor beneficio
referido a la gestioacuten de los riesgos globales
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
1ordf Liacutenea de Defensa
Negocio MarketingOperacionesTecnologiacuteaSeguridad TI
2ordf Liacutenea de Defensa
Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo
3ordf Liacutenea de Defensa
Auditoriacutea internaAuditoriacutea externa
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Dentro de este modelo organizativo el CISO gestiona de forma unificada la
seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones
esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde
se ubica al CISO En otras organizaciones sin embargo se encuentra en la
segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-
loacutegica (Chief Technology Security Officer) un LISO (Local Information Security
Officer) e incluso un BISO (Bussiness Information Security Officer)
En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-
ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como
primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que
son tanto de la primera como de la segunda a lo que en el sector se le llama
la liacutenea 1 punto 5 (15)
El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-
no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo
y asesoramiento experto en materia de seguridad de la informacioacuten y protec-
cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el
CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-
macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten
en el comiteacute ejecutivo de la compantildeiacutea
Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-
tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar
dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten
senior de la compantildeiacutea no simplemente un gestor teacutecnico
Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas
y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO
dentro de la organizacioacuten o a quieacuten reporte en la misma
El libro Blanco del CISO 41
IV6- Caracteriacutesticas de un CISO
MODELOS ORGANIZATIVOS Y RELACIONALES
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com
en_USassetspdftech-briefsgovernance-of-cybersecuritypdf
Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto
ya que si asiacute fuese todo el mundo utilizariacutea el mismo
A continuacioacuten se exponen distintos estudios que avalan estos principios
En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la
segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-
neas de reporte CISOCIO tal como se refleja en el siguiente informe
En esa liacutenea hay tres claves que facilitan al CISO el eacutexito
El libro Blanco del CISO42
IV7-iquestA quieacuten debe reportar el CISO
Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten
Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten
Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio
Liacuteneas de reporte
bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 43
En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-
curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-
curitylibraryinformation-security-surveyhtml se evidencia una tendencia a
separar el rol del CISO
Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-
SOs and their importance to the businessrdquo (httpsinteractf5comrs653-
SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED
pdf) indica que
De estos estudios cabe destacar que el CISO aumenta de forma progresiva su
interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende
a incrementar la segregacioacuten de funciones entre CISOCIOCTO
Debe ser una posicioacuten suficientemente independiente para mantener
una visioacuten objetiva del nivel de exposicioacuten a los riesgos
Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-
tificar y proteger riesgos asociados al uso de la informacioacuten pero para
ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de
los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten
Al mismo tiempo se deben resaltar los siguientes epiacutegrafes
bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)
bull 60 de los CISOs tienen canal directo con CEO en caso de inciden- tes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader
Expectativas
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO44
Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-
ganizaciones complejas y simples
En este segmento de Organizaciones complejas normalmente hablamos de
corporaciones y en estos casos deben considerarse como miacutenimo las si-
guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-
presarial
Organizaciones complejas aquellas que tienen uno o varios de estos factores
La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-
pales
Complejidad de la empresa
Requisitos de leyes y regulaciones
Sector de actividad
Factor humano del equipo de direccioacuten
Dispersioacuten geograacutefica
Dispersioacuten funcional
Dispersioacuten societaria
Alto volumen de transacciones de negocio
En empresas en las que la gestioacuten se encuentra maacutes centralizada y las
sociedades filiales se centran en cuestiones operativas el rol del CISO
corporativo tendraacute atribuciones muy superiores a un grupo tipo holding
y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-
cas de grupo y supervisar el despliegue de la funcioacuten en los negocios
En grupos con liacuteneas de negocio diversificadas es factible que surja la
figura del BISO (Business Information Security Officer)
En corporaciones internacionales se generaraacute la obligatoriedad de cum-
plir las respectivas legislaciones locales En estos casos es factible que
surja la figura del LISO (Local Information Security Officer)
Realidades
IV8- Tipos de empresas
MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 45
A efectos de este informe el resto de las empresas se consideran organiza-
ciones simples En estos casos salvo empresas que pertenezcan a sectores
de actividad muy regulados es praacutectica habitual que los roles se adapten a
las competencias y habilidades del equipo directivo existente pues suelen
concentrar responsabilidades con cierto grado de heterogeneidad
Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto
en los negocios es por ello que la correcta designacioacuten organizativa del CISO
sus responsabilidades e interrelaciones son una asignatura clave para la alta
direccioacuten de las empresas
Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-
cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la
ciberseguridad y la privacidad de la informacioacuten
Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si
deben estar juntos o no es importante destacar la importancia de tener una
estrategia de Seguridad Integral que logre una adecuada y coordinada cober-
tura de riesgos de los siguientes aacutembitos
IV9- Recomendaciones
Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-
teado (ciberataques virus ransomware etc)
Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-
nes y en general a cualquier evento que pueda afectar a la seguridad
de las personas y de las infraestructuras normalmente estos aspectos
dependen del Director de Seguridad pero como estas amenazas pue-
den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por
una misma persona o tratarse en un mismo departamento de ldquoSeguri-
dad Globalrdquo
Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-
vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en
un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son
independientes del CISO en un futuro no muy lejano y por los mismos
motivos del caso anterior podriacutean englobarse en el departamento de la
ldquoSeguridad Globalrdquo
MODELOS ORGANIZATIVOS Y RELACIONALES
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO46
PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-
ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano
de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en
el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas
funciones que pueden ser o no desempentildeadas por la misma persona requie-
ren un perfil con similares cualidades esto no es extrapolable al plano opera-
tivo puesto que las especialidades son muy diferentes
En el aspecto de autoridad formal como ya se ha comentado en el punto pre-
cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad
informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque
no podriacutea tomar decisiones con criterio de otro modo
El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la
empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-
sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la
informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de
la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute
la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para
manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)
El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de
abril de Seguridad Privada al Director de Seguridad ya que es posible su in-
tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-
seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el
CISO en cuyo caso la habilitacioacuten es obligatoria)
Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica
conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras
empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra
formacioacuten o capacitacioacuten profesional complementaria es interesante para es-
tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO
deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado
VI FORMACIOacuteN Y CAPACITACIOacuteN
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 47
PERFIL DEL CISO
Si CISO y CTSO convergen en la misma persona el espectro de conocimiento
del CISO es maacutes amplio
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las
siguientes capacitaciones
Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-
cioacuten o informaacuteticos
Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-
cindible porque tanto publicaciones como foros eventos etc se desa-
rrollan con frecuencia en ingleacutes
Certificaciones profesionales (algunos ejemplos)
CCSP - Certified Cyber Security Professional Certificacioacuten otorgada
por ISMS Forum
CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-
cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de
Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos
CDPP - Certified Data Privacy Professional Certificacioacuten otorgada
por ISMS Forum
CISA - Certified Information Systems Auditor (CISA) Certificacioacuten
para auditores de ISACA (Information Systems Audit and Control As-
sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-
macioacuten)
CISM - Certified Information Security Manager Certificacioacuten para
gestores de seguridad de la informacioacuten de ISACA (Information Sys-
tems Audit and Control Association - Asociacioacuten de Control y Audito-
riacutea de Sistemas de Informacioacuten)
CISSP - Certified Information Systems Security Professional Certifi-
cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-
rity Certification Consortium Inc)
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO48
CRISC - Certified in Risk and Information Systems Control Certifica-
cioacuten para gestores de control de riesgos en sistemas de informacioacuten
de ISACA (Information Systems Audit and Control Association - Aso-
ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)
SSCP - Systems Security Certified Practitioner Certificacioacuten en se-
guridad informaacutetica otorgada por (ISC)sup2 (International Information
Systems Security Certification Consortium Inc)
Existen otras muchas certificaciones complementarias que pueden
ser de intereacutes
CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)
CISMP (Information Security Management Principles)
CGEIT (Certified in the Governance of Enterprise IT)
CompTIA+ (Advanced Security Practitioner)
Certified CISO (CCISO)
Certificaciones de CISCO
CCNA Security
CISCO Certified Network Professional Security
Certificaciones de SANS Institute
Certificaciones de Offensive Security
Certificaciones GIAC
Certificaciones CERT
Certified Computer Security Incident Handler Certification
VII SOFT SKILLS
El rol de CISO implica disponer de habilidades adicionales o paralelas cono-
cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja
muchas veces no bien definidas y que requiere de un gran equilibrio entre la
autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-
testas la asignacioacuten y asuncioacuten de tareas y responsabilidades
Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil
un compendio de conocimientos adicionales a veces incluso profundos de
otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades
personales y emocionales Este enjuague de habilidades adicionales confor-
maraacute la valiacutea del profesional y se debe prestar atencioacuten
PERFIL DEL CISO
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
VII1- Capacitacioacuten y habilidades directivas
El libro Blanco del CISO 49
Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-
riencia profesional) y autoridad El CISO es una figura directiva con un elevado
ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-
nes operatividad de recursos plazos cumplimiento contractual legislativo y
normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa
pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-
fesional con soacutelidos conocimientos del negocio y capacidad para valorar los
dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la
informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza
no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis
Sin embargo no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformacioacuten digital se perfila como una necesidad o in-
cluso como un elemento que condiciona la competitividad de la organizacioacuten
o hasta su supervivencia a medio o largo plazo
PERFIL DEL CISO
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-
sa la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-
cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y
el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten
es un factor imprescindible El CISO no puede saberlo todo ser especialista
de todo El director de orquesta no tiene por queacute saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten
de la partitura
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO50
PERFIL DEL CISO
Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no
puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la
confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-
nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se
pierde nunca se recupera
PERFIL DEL CISO
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO 51
CONCLUSIONES VI
El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten
es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital
y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-
macioacuten y comunicaciones lo estaacuten poniendo de manifiesto
El rol del CISO es un rol Directivo especializado en seguridad de la informa-
cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas
respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-
cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-
gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-
tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la
informacioacuten acordado
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organizacioacuten Por ello en el pasado
se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO
de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten
de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la
transversalidad propia de la seguridad de la informacioacuten dado que las orga-
nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el
CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de
las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-
tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo
de un conocimiento central y profundo de seguridad de la informacioacuten
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
El libro Blanco del CISO52
CONCLUSIONES
El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolucioacuten de las amenazas frente a otros roles definidos por documentos
estaacutendares o regulaciones que establecen claramente sus funciones y atribu-
ciones
Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-
tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque
homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes
importante en aspectos tales como en la definicioacuten de sus funciones respon-
sabilidades aportacioacuten y relevancia
Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo
son en organizaciones punteras innovadoras y con necesidades identificadas
claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-
viada para definir correctamente esta funcioacuten
Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten
del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su
organigrama
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
ABREVIATURAS Y ACROacuteNIMOS
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018
Ley 52014 de 4 de abril de Seguridad Privada
httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado
Real Decreto 23641994 de 9 de diciembre por el que se aprueba el
Reglamento de Seguridad Privada
httpswwwboeesbuscarpdf1995BOE-A-1995-608-consolidado
Nuevo borrador de reglamento disponible que incluye expresamente
referencias a la Seguridad Informaacutetica y Ciberseguridad
httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf
Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a
los servicios puacuteblicos que establece el Esquema Nacional de Seguridad
httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-
ceso_electronico_ciudadanospdf
Real Decreto 32010 de 8 de enero que aprueba el ENS
httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf
Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico
Recoge el ENS en su artiacuteculo 156 apartado 2
httpboeesboedias20151002pdfsBOE-A-2015-10566pdf
Real Decreto 9512015 de 23 de octubre que modifica el ENS
httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881
Ley de Seguridad Privada
Esquema Nacional de Seguridad
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-
mente aplicable a todos los paiacuteses de la UE exista o no ley nacional
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L0943ampfrom=en
Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal
httpwwwcongresoespublic_oficialesL12CONGBOCGABO-
CG-12-A-13-3PDF
Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la
adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en
materia de proteccioacuten de datos
httpswwwboeesboedias20180730pdfsBOE-A-2018-10751
Directiva (EU) 2016943 (Trade Secrets)
h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-
LEX3A32016L0943
Anteproyecto de ley de secretos empresariales disponible editada el 8
de febrero de 2018
httpwwwmjusticiagobescsSatellitePortal1292428696156blo-
bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-
blobheadervalue1=attachment3B+filename3DInformacion_publica_
APL_secretos_empresariales_TextoPDF
Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 82011
de 28 de abril por la que se establecen medidas para la proteccioacuten de
las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de
la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-
turas criacuteticas en el seno de la Unioacuten Europea
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32016L1148ampfrom=ES
Proteccioacuten de datos
Secretos Comerciales
Directiva NIS
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes
y sistemas de informacioacuten
httpswwwboeesdiario_boetxtphpid=BOE-A-2018-12257
Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-
tructuras criacuteticas
httpwwwcnpicesLegislacion_Aplicableindexhtml
Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)
httpswwwboeesbuscaractphpid=BOE-A-2011-9280
httpswwwboeesbuscaractphpid=BOE-A-2011-17835
Sector Juego
Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-
DSS
httpsespcisecuritystandardsorgdocument_librarycategory=p-
cidssampdocument=pci_dss
PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-
peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de
enero de 2016
httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-
LEX32015L2366ampfrom=EN
Directiva sobre servicios de pago en el mercado interior y por la que se
modifican las Directivas 200265CE 2009110CE y 201336UE y el
Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE
Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-
banes-Oxley Act of 2002 US InterAmerican Community Affairs
httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm
Basilea III marco regulador internacional para los bancos
httpswwwbisorgpublbcbs189_espdf
Sector Financiero - Comercio
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de
septiembre por la que se establecen los requisitos y el procedimiento de
designacioacuten de entidades independientes que realicen las certificacio-
nes de evaluacioacuten del software de juegos y de seguridad de operadores
de juegos)
httpswwwboeesbuscardocphpid=BOE-A-2011-15092
Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-
cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-
cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-
zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego
de caraacutecter no reservado objeto de licencias otorgadas al amparo de la
Ley 132011 de 27 de mayo de regulacioacuten del juego)
httpswwwboeesbuscardocphpid=BOE-A-2014-10302
Ley 91968 de 5 de abril sobre secretos oficiales
httpswwwboeesbuscarpdf1968BOE-A-1968-444-consolidado
Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten
en poder de las Empresas (SEGINFOEMP)rdquo
httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-
tal290506_OM_Seg_Informacionpdf
httpwwwdefensagobesportalserviciosserviciosindustriadefen-
saseginfoemp
Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa
por la que se aprueban las Normas para la Seguridad de la Informacioacuten
del Ministerio de Defensa en poder de las empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-
truccion_52_2013pdf
Sector Defensa
Leyes y normativas nacionales
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
De especial relevancia
Documento C-M(2002)49
httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12pdf
y directivas asociadas
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
Normativa de Seguridad OTAN
Resolucioacuten 3201454613 de 23 de septiembre del Director General de
Armamento y Material por la que se aprueban los procedimientos para
la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-
tario de Estado de Defensa por la que se aprueban las normas para la
seguridad de la informacioacuten del Ministerio de Defensa en poder de las
empresas
httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-
solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf
Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten
clasificada
httpswwwcniescomunrecursosdescargasDOCUMENTO_5_-_
Normas_de_la_Autoridadpdf
Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional
httpswwwccn-certcniesguiasguias-series-ccn-stichtml
Normativa de Seguridad (no todas son de dominio puacuteblico)
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
AC35-D2000 Directive on Personnel Security
httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-
4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf
AC35-D2001 Directive on Physical Security
h t t p w w w d k s i b g N R r d o n l y r e s
9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-
yAC35D2001REV2pdf
AC35-D2002 Directive on Security of Information
httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-
0F20396E57800Information_SecurityAC35D2002REV4pdf
AC35-D2003 Directive on Industrial Security
httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-
761D1B0D97CB0AC35D2003REV5pdf
AC35-D2004 Primary Directive on INFOSEC
httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-
6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf
AC35-D2005 INFOSEC Management Directive for CIS
httpswwwnbuczdownloadpravni-predpisy---natoAC_35-
D_2005-REV3pdf
httpwwwoccarintoccar-rules
ESA Security Regulations
httpsdownloadesaintdocsesoesa-reg-004epdf
httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-
pean-defence-industry
httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-
ttee-3
Normativa OCCAR
Normativa ESA
Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Normativa US ITAR (Part 130)
httpswwwpmddtcstategovregulations_lawsdocumentsofficial_
itar2016ITAR_Part_130pdf
Normativa EAR
US Export Administration Regulation (EAR)
httpswwwbisdocgovindexphpregulationsexport-administra-
tion-regulations-ear
Normativa de doble uso de la Unioacuten Europea aplicable para todos los
paiacuteses miembros
h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -
d=1527179601283ampuri=CELEX02009R0428-20171216
Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-
mento de control del comercio exterior de material de defensa de otro
material y de productos y tecnologiacuteas de doble uso
httpswwwboeesboedias20140826pdfsBOE-A-2014-8926
Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-
rordnung
httpwwwgesetze-im-internetdeenglisch_awvindexhtml)
aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes
de doble uso bajo control nacional
Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-
ffKontrG)
httpsgermanlawarchiveiuscomporgp=741
Veacutease tambieacuten
httpwwwbafadeENForeign_TradeExport_Controlexport_con-
trol_nodehtml
Export Control
Estados Unidos de Ameacuterica
Europa
Espantildea
Alemania
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido
Control de bienes de doble uso
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-biens-et-technologies
Control de material beacutelico
httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france
desarmement-et-non-proliferationla-france-et-le-controle-des-ex-
portations-sensiblesarticlecontrole-des-exportations-de-mate-
riels-de-guerre
Sistema Online de licencias (EGIDE)
httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-
cences-et-circuit
Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010
https wwwlegis lat ion govukukpga200228pdfsukp-
ga_20020028_enpdf
httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_
enpdf
httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_
enpdf
Francia
Reino Unido