vCISO/vDPO
Eladio Cortizas Information Security Consultant

vCISO/vDPO, ventajas para las empresas de un modelo de servicio

Con el aumento de los ataques cibernéticos, las brechas de seguridad, la sofisticación de los ataques y el enfoque en la seguridad de la información, las organizaciones necesitan las figuras de CISO y también, en muchos casos, de DPO.

¿Qué es un CISO?

El director de seguridad de la información (Chief Information Security Officer, CISO) es la persona a nivel ejecutivo responsable de la seguridad de la información y de los datos de una organización. Su función principal es la de alinear la seguridad de la información con los objetivos de negocio.

Entre las funciones que desempeña se encuentran:

  • Actividades de planificación y gestión de la seguridad de la información.
  • Colaboración con la definición de la estructura organizativa y de gestión en lo que respecta a la seguridad de la información.
  • Iniciativas que afectan las prácticas de gestión del ciclo de vida de la información.
  • Actividades de gestión de riesgos de seguridad de la información.
  • Evaluación de terceros con acceso a los datos de la organización.
  • Coordinación de auditorías realizadas por reguladores externos o clientes.

¿Qué es un vCISO?

El vCISO es un profesional que ayuda a las organizaciones a desarrollar y administrar la implementación del programa de seguridad de la información. En un alto nivel, los vCISO ayudan a diseñar la estrategia de seguridad de la organización, y también ayudan a administrar su implementación. El personal de seguridad interna puede seguir existiendo, ya sea informando o trabajando con el vCISO para ejecutar el programa de seguridad. Además, generalmente se espera que el vCISO se encargue de presentar el estado de seguridad de la información de la organización a la junta directiva, el equipo ejecutivo, los auditores o los reguladores de una organización.

¿Qué es un DPD/DPO?

Un Delegado de Protección de Datos, DPD (Data Protection Officer DPO) se encarga de garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y del resto de normativas sobre protección de datos.

Las funciones de un DPD son:

  • Informar y asesorar en la organización a todas las personas responsables, y personal que tengan que tratar datos personales, de las obligaciones que tienen según la normativa de protección de datos.
  • Supervisar el cumplimiento de lo dispuesto en la normativa de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal en dicha materia.
  • Ofrecer asesoramiento y supervisión acerca de las medidas relativas a los tratamientos de datos personales como la evaluación de impacto relativa a la protección de datos.
  • Cooperar y actuar como punto de contacto con la autoridad de control.

¿Qué es un vDPO?

El vDPO es un profesional que ayuda a las organizaciones en el cumplimiento del Reglamento General de Protección de Datos RGPD y del resto de normativas sobre protección de datos, cuando la organización no dispone de la capacidad interna para cubrir esta figura. Un vDPO garantiza la independencia ya que es una persona ajena a la estructura de la organización para supervisar y monitorear de una forma independiente la aplicación interna y el respeto de las normas sobre protección de datos.

Casos de uso para vCISO y vDPO

  • Pueden ser el puente y contratación de un nuevo CISO/DPO. En momentos puntuales, la organización no dispone de CISO/DPO y necesita cubrir las tareas que realizan estas figuras por un tiempo indeterminado. Durante este tiempo, se encargará de revisar la estrategia de seguridad de la información y cumplimiento normativo actual, y ayudar a reclutar, seleccionar y hacer la transición.
  • Asistencia a una organización pequeña. Algunas PYMEs no se pueden permitir tener estas figuras a tiempo completo y en plantilla.
  • Creación de un programa de cumplimiento. Las organizaciones muchas veces no tienen la experiencia necesaria para desarrollar un programa de cumplimiento específico y cómo eso se puede traducir en la creación de políticas y procesos para asegurar la información protegida. Actualmente existen muchas normativas específicas y es muy difícil una especialización completa en todas ellas (ISO27001, ISO 27701, ISO22301, NIST, SOX, RGPD, LOPDGDD, ENS, TISAX, HIPAA, PCI DSS, DORA, EIOPA, LPIC, IEC 62443, RD 43/2021…).

¿Qué organizaciones necesitan un vCISO/vDPO?

  • Todas aquellas que no incorporen estas figuras en sus plantillas y estén obligadas por legislación o normativas sectoriales.
  • Organizaciones con información confidencial.
  • Organizaciones con presupuesto limitado.
  • Organizaciones que tienen necesidades específicas de seguridad de la información en algunas tareas específicas y no en toda la organización lo que no justifica una contratación en plantilla.
  • Organizaciones que requieren conjuntos de habilidades específicas y difíciles de encontrar en el actual mercado laboral.

Ventajas para las organizaciones de este modelo de servicio vCISO/vDPO

La cuestión de si contratar un CISO/DPO o un vCISO/vDPO realmente se reduce a la estrategia de la organización.

Lo recomendable es empezar con un vCISO/vDPO para comenzar el trabajo de base y ver si hay apoyo interno en la organización para implementar un programa completo de seguridad de la información y privacidad

Si no se está seguro de cuál es la mejor opción, lo recomendable es empezar con un vCISO/vDPO para comenzar el trabajo de base y ver si hay apoyo interno en la organización para implementar un programa completo de seguridad de la información y privacidad. En función de las necesidades detectadas y, si es necesario, contratar un CISO/DPO de tiempo completo para completar el trabajo.

El modelo vCISO/vDPO ofrece las siguientes ventajas:

  • Permite a las organizaciones evitar el gasto de emplear uno interno a tiempo completo, pagando solo por los servicios y el tiempo utilizado. Se estima que el coste está entre el 30 y el 40 % de un CISO/DPO a tiempo completo.
  • Tienen más experiencia. Trabajan o han trabajado para muchos clientes en un conjunto muy diverso de industrias y tamaños. Esto les brinda una amplia gama de experiencia que se puede aplicar a la organización.
  • Pueden estar en cualquier lugar. En lugar de tener que contratar a alguien localmente (lo que limita las opciones), este modelo de consultoría puede trabajar desde casi cualquier lugar.
  • Permite a las organizaciones ocupar rápidamente el rol, sin necesidad de pasar por el proceso de contratación.
  • Son una opción basada en el consumo. Realizará las tareas en función de un alcance de trabajo acordado. Por lo tanto, se está pagando por los servicios que se desean y permite un mayor control sobre el uso de los recursos.