A partir de febrero de 2021 España exige que las empresas incluyan una figura nueva, la del responsable de seguridad de la información o digital. El Real Decreto Ley 43/2021 quiere regular las obligaciones contractuales de ciertos operadores en orden de proteger sus sistemas de operación.
El responsable de ciberseguridad, o responsable de seguridad de la información (RSI) deberá contar con la formación y competencia necesarias para elaborar tanto las políticas de seguridad como las medidas técnicas a implementarse en la organización.
El rol del responsable de seguridad de la información
La información tiene hoy en día un papel preponderante, y su protección se ha convertido en una necesidad.
Con este Real Decreto, España reconoce el papel del CISO (Chief Security Information Officer, por sus siglas en inglés). Se trata de una figura de especial importancia dentro de cualquier negocio, para proteger datos sensibles y como contacto entre la organización y las autoridades competentes en la supervisión de la seguridad de los sistemas de información de las empresas.
Principales funciones del CISO
Elaboración de las políticas de seguridad y de la Declaración de Aplicabilidad
El CISO elaborará las políticas de seguridad, que estarán enmarcadas en el esquema nacional de seguridad; incluyen medidas técnicas y organizativas que permitan gestionar aquellas situaciones que pueden poner en riesgo la seguridad de los sistemas y las redes que se usan.
Asimismo, el responsable de seguridad de la información, con las implementaciones que considere necesarias, podrá no solo prevenir, sino reducir lo más posible cualquier ataque de ciberdelincuentes.
Por otro lado, el responsable de ciberseguridad elaborará el documento de Declaración de Aplicabilidad de las medidas de seguridad, tal y como lo establece el artículo 6.3 del Real Decreto.
Supervisión de las políticas de seguridad
El responsable de ciberseguridad podrá desarrollar las medidas de seguridad, y supervisarlas de acuerdo con las normativas establecidas en el BOE.
Además, tendrá que ejecutar controles regulares de seguridad para corroborar la efectividad de las políticas implementadas.
Contacto entre la autoridad competente y la empresa
El responsable de seguridad de la información será el punto de contacto entre las autoridades y la empresa en asuntos de seguridad de la información. En este sentido, el CISO deberá remitir a la brevedad, a las autoridades competentes, cualquier notificación de ciberincidentes que puedan alterar los servicios referidos en el artículo 19.1 del RD-Ley 12/2018.
Por otra parte, deberá recoger, interpretar y revisar las instrucciones, guías y normativas procedentes de la autoridad correspondiente, y supervisar la aplicación de las mismas en la operatividad habitual o en los casos en que se corrijan las deficiencias detectadas. Siempre respetando el esquema nacional de seguridad y la normativa vigente.
Como contacto, también deberá recopilar y suministrar la información que se le exija o preparar la documentación necesaria y presentarla al CSIRT de referencia o a la autoridad competente, por propia iniciativa o por solicitud.
Con este Real Decreto, el gobierno español quiere aumentar la presencia de los CISO y que en las empresas nacionales, para 2025, al menos en el 40 % de ellas se establezca un comité de ciberseguridad.