¿Qué estás buscando?

1. Antecedentes

Una vez que se ha cumplido el plazo establecido para la publicación de la transposición de la Directiva NIS2, y se ha producido el hecho que muchos de los países que tenían la obligación de realizarla no lo hayan hecho, no se ha tenido la oportunidad aún de verificar cuáles son las medidas oportunas y claras a implementar dentro de cada uno de estos países, más allá de los puntos clave que conocemos de los artículos 20, 21 y 23 de la Directiva, y que se podrían traducir en Gobernanza, Gestión de Riesgos y Gestión de Incidentes.

Dicho esto, e independientemente que no hayan aparecido algunas transposiciones, algunos organismos sí que han publicado actos o herramientas que nos permiten profundizar un poco más en los requisitos de la Directiva y en cómo estos podrían afectar a las entidades incluidas dentro de su ámbito de aplicación, a la figura del CISO en particular y a las obligaciones que este tendrá que enfrentar.

En este artículo nos vamos a centrar principalmente en las siguientes publicaciones:

• El Reglamento de Ejecución publicado por la Comisión en el Diario Oficial, relativo a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad y en el que se detallan los casos en que un incidente se considera significativo con respecto a algunas entidades que están dentro del ámbito de aplicación.
• La guía de implementación recientemente publicada por ENISA, en la que establece directrices sobre la aplicación de este mismo Reglamento de Ejecución.

2. Reglamento de ejecución y guía de implementación

En primer lugar, el Reglamento de Ejecución no hace menciones explicitas al CISO más allá de la importancia que tendrá el definir y asignar unos roles, responsabilidades y autoridades claros dentro de la entidad en materia de ciberseguridad, que permitan lograr una estructura fiable para la gobernanza, relacionándolo así con el artículo 20 de la Directiva. En este sentido, uno (o unos) de los roles que el Reglamento menciona es el Responsable de la Seguridad de la Información, por lo que establece como no podía ser de otra manera a este rol un lugar prominente dentro de la estructura de Ciberseguridad de la compañía (si es que no lo tenía ya).

Más allá de estas menciones, el Reglamento no realiza otras de manera explícita a la labor del CISO, aunque este deberá supervisar las acciones relativas a mitigar los riesgos relativos a la Ciberseguridad.

La guía de ENISA, sin embargo, sí que profundiza algo más (no mucho), en las posibles responsabilidades que el CISO podría asumir de cara al cumplimiento de la Directiva y en cómo las entidades en las que este desempeñe su labor podrán evidenciarla.

En este sentido, en uno de sus puntos la guía se centra en la asignación de los roles dentro de la entidad, indicando que las entidades establecerán responsabilidades y autoridades en materia de seguridad de las redes y sistemas de información y las asignarán a las funciones, las distribuirán en función de las necesidades de las entidades pertinentes y las comunicarán a los órganos de gestión.

Para conseguir esto, la entidad deberá describir y asignar dichas funciones, entre las que se encuentran la del CIO, el CISO o el Responsable de la Gestión de Incidentes, teniendo claramente asignados los derechos y responsabilidades de estos roles e incluyéndolos dentro del organigrama de la compañía.

En todo caso, y debido a la dificultad que entraña para algunas entidades establecer y delimitar claramente las funciones y responsabilidades de cada uno de los roles identificados, la propia Agencia nos indica que a la hora de establecer estas funciones nos podemos servir de las orientaciones de los marcos o estándares internacionales, incluyendo el propio Marco Europeo de Habilidades en Ciberseguridad (ECSF)

Aún con eso, una recomendación a la hora de llevar a cabo esta asignación de roles y de poder justificarla a las Autoridades, será la de por ejemplo contar por parte de la entidad con las descripciones de los puestos de trabajo; disponer de una lista detallada de las funciones de seguridad dentro de la entidad (CISO, DPO, Gerente de la Continuidad); especificar quién las ocupa y sus datos de contacto; o contar con las evidencias de sus nombramientos de manera formal, incluyendo la descripción de las responsabilidades y tareas para las funciones de seguridad (CISO, DPO, etc.).

Por otro lado, la guía indica que las entidades deberán asegurarse de que se designe al menos una persona para informar directamente a los órganos de gestión de la entidad sobre cuestiones de seguridad de la red y de los sistemas de información. En este caso, la guía nombra al CISO como ejemplo de responsable de supervisar las cuestiones de seguridad, indicando también que esta persona debe tener la autoridad y experiencia para poder comunicarse con la dirección.

Para conseguir trasladar esto a las Autoridades, será fundamental evaluar las habilidades de dicha persona en cuanto a comunicación y autoridad y tener una adecuada estructura de roles de seguridad dentro de la entidad, de este modo se asegurará la eficacia de la labor del CISO si este es finalmente la figura nombrada.

Por último, otras responsabilidades que involucrarían al CISO dentro de la entidad sería la de incluirle dentro del escalado de comunicación interna como uno de los órganos de gestión dentro de la respuesta a incidentes, o tener bien claro cuándo escalar a éste esta circunstancia.

En todo caso y por lo que hemos visto, será fundamental delimitar claramente las funciones y las responsabilidades encomendadas a cada una de estas, incluyendo, como no, la función del CISO y las responsabilidades que este lleve aparejadas.

Como conclusión, para las labores del CISO será fundamental tener aptitudes en comunicación, contar con la autoridad suficiente y poder ejercerla adecuadamente, y, además, que esta autoridad sea conocida dentro de la entidad de manera clara.

Miguel Ángel Pera Mora

Govertis, parte de Telefónica Tech