El Libro Blanco del CISO - ismsforum.es · nizativo de la empresa, naturaleza y sector de...

Copyright y derechos Este contenido estaacute protegido por las normas aplicables de propiedad intelectual

La presente es una publicacioacuten conjunta que pertenece al Instituto Nacional de Ciberseguridad (INCIBE) y a la Asociacioacuten Espantildeola para el Fomento de la Seguridad de la Informacioacuten ISMS Forum Spain y estaacute bajo una licencia Reconocimiento- No comercial - Si-nObraDerivada 40 Internacional de Creative Commons Por esta razoacuten estaacute permitido copiar distribuir y comunicar puacuteblicamente en cualquier medio o formato esta obra bajo las condiciones siguientes

ReconocimientoEl contenido de esta obra se puede reproducir total o parcialmente por terceros citando su procedencia y haciendo referencia expresa tanto a INCIBE como a ISMS Forum y a sus sitios web httpswwwincibees y httpwwwismsforumes Dicho reconocimiento no podraacute en ninguacuten caso sugerir que INCIBE o ISMS Forum prestan apoyo a dicho tercero o apoyan el uso que hace de su obra

Uso No ComercialLa obra puede ser distribuida copiada y exhibida mientras su uso no tenga fines comerciales Al reutilizar o distribuir la obra tiene que dejar bien claro los teacuterminos de la licencia de esta obra Alguna de estas condiciones pueden no aplicarse si se obtiene el permiso de INCIBE e ISMS Forum como titulares de los derechos de autor Texto completo de la licencia httpscreativecommons orglicensesby-nc-nd40deedes_ES

Sin obra derivadaNo se permite remezclar transformar ni generar obras derivadas de eacutesta ni se autoriza la difusioacuten del material modificado

El Libro Blanco del CISO

Direccioacuten y coordinacioacuten

ALBERTO HERNAacuteNDEZ Director General de INCIBEFRANCISCO LAacuteZARO Miembro de la Junta Directiva de ISMS Forum

GIANLUCA DrsquoANTONIO Presidente de ISMS Forum

Colaboradores

AacuteNGEL CAMPILLOAacuteNGEL PEacuteREZCARLES SOLEacute

CARLOS A SAIZDANIEL LARGACHA

ELENA MATILLAGEMMA DEacuteLER

GONZALO ASENSIOGUSTAVO LOZANO

IVAacuteN SAacuteNCHEZJAVIER SEVILLANO

JEacuteSUacuteS MEacuteRIDAJOSEacute RAMOacuteN MONLEOacuteN

JOSEacute ANTONIO PEREAMANUEL FERNAacuteNDEZ

MARCOS GOacuteMEZMARIANO J BENITO

PEDRO DIacuteAZRAFAEL SANTOS

RAFAEL HERNAacuteNDEZRAMOacuteN ORTIZ

ROBERTO BARATTA

Revisores

ALFONSO LOacutePEZ-ESCOBARELENA MATILLA

GUSTAVO LOZANO

Editor

DANIEL GARCIacuteA SAacuteNCHEZ Director General de ISMS Forum

Disentildeo y maquetacioacuten

CYNTHIA RICA GOacuteMEZ Responsable de comunicacioacuten de ISMS Forum

IacuteNDICEI INTRODUCCIOacuteN Y CONTEXTO ACTUAL I1- Tendencias y factores Externos I2- Marco normativo nacional e internacional II ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA II1- Funciones del CISO II2- Actividades del CISO II3- Actividades del CISO no directamente relacionadas con TI II4- El CISO como Directivo III LA FUNCIOacuteN DE LA SEGURIDAD DE LA INFORMACIOacuteNIII1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Control TI a Gestioacuten de riesgos y cumplimiento III2- Gobierno de la Seguridad de la Informacioacuten IV MODELOS ORGANIZATIVOS Y RELACIONALES IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea IV4- Modelo 4 El CISO dentro de la alta direccioacuten IV5- Modelo 5 Modelo Organizativo IV6- Caracteriacutesticas de un CISO IV7-iquestA quieacuten debe reportar el CISO IV8- Tipos de empresas IV9- Recomendaciones V PERFIL DEL CISO VI FORMACIOacuteN Y CAPACITACIOacuteN VII SOFT SKILLS VII1- Capacitacioacuten y habilidades directivas VI CONCLUSIONES ABREVIATURAS Y ACROacuteNIMOS ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018

89

19212627

28

28

353637383941424445

464849515354

INTRODUCCIOacuteN Y CONTEXTO ACTUALI

El libro Blanco del CISO 5

El Foro Econoacutemico Mundial en su Informe Global de Riesgos del 2018 identifica

dentro de los riesgos maacutes preocupantes a nivel mundial por su probabilidad

de ocurrencia e impacto a los ciberataques y al robo o uso fraudulento de los

datos Siendo por ello una de las grandes preocupaciones a nivel global tan-

to en el entorno puacuteblico como privado La dependencia de las redes y de los

sistemas de informacioacuten para el bienestar la estabilidad y el crecimiento de

las Naciones es un hecho Como tambieacuten lo es la interdependencia de tecno-

logiacuteas e infraestructuras

Por otro lado la tendencia Fast Cheap amp Easy en la gestioacuten de Sistemas de In-

formacioacuten para reducir el tiempo y coste de la provisioacuten de nuevas soluciones

y que se apoya en metodologiacuteas aacutegiles (Lean DevOps Agile) supone tanto un

reto en la elaboracioacuten de los Anaacutelisis de Riesgos como en el control del de-

sarrollo y hace maacutes importante la necesidad de tener en cuenta la Seguridad

de la Informacioacuten desde el disentildeo y durante todo el ciclo de vida de cualquier

Producto o Servicio

Todos los actores estaacuten preparaacutendose a este nuevo escenario La Administra-

cioacuten estaacute centrando sus esfuerzos en la definicioacuten de distintos marcos regula-

torios La Estrategia de Ciberseguridad el Reglamento General de Proteccioacuten

de Datos Personales el Real Decreto-Ley de Seguridad de las Redes y los Sis-

temas de informacioacuten el Esquema Nacional de Seguridad la normativa sobre

proteccioacuten de infraestructuras criacuteticas y la normativa de seguridad privada To-

das ellas con un factor comuacuten establecer un conjunto de criterios o medidas

de seguridad a aplicar

Para las empresas los nuevos paradigmas como son la Transformacioacuten Digital

el uso de soluciones basadas en la Nube o Cloud Computing la incorporacioacuten

de dispositivos IoT el Big Data suponen un cambio en la forma de entender

coacutemo la tecnologiacutea facilita el negocio

I1- Tendencias y factores Externos

8


INTRODUCCIOacuteN Y CONTEXTO ACTUAL

Es por todo ello por lo que el papel del Responsable de Seguridad de la In-

formacioacuten (CISO por sus siglas en ingleacutes de Chief Information Security Officer)

cobra un papel trascendental en las organizaciones del siglo XXI La seguridad

por defecto desde el disentildeo y la debida gestioacuten de los riesgos de seguridad

son elementos clave para garantizar la supervivencia de las organizaciones

del futuro y en general de la sociedad Debe ser capaz de poder cohesionar

la estrategia en materia de Seguridad de la Informacioacuten de las organizaciones

Esteacute donde esteacute sin lugar a dudas el CISO es una figura clave dentro de las or-

ganizaciones debiendo definirse claramente sus atribuciones y su perfil como

ya se hizo anteriormente con otros roles como el del CIO el CFO (Chief Finan-

cial Officer) o Auditoriacutea Interna

La presente seccioacuten tiene como objetivo orientar al CISO en las leyes y norma-

tivas que deberaacute tener en consideracioacuten para ejercer su actividad Es preciso

resentildear que la normativa aplicable a su funcioacuten dependeraacute del modelo orga-

nizativo de la empresa naturaleza y sector de actividad

Este libro blanco recoge el rol y funciones del CISO del siglo XXI como facilita-

dor del negocio para alcanzar sus objetivos y aumentar su resiliencia

No obstante dependiendo de cada entidad estas funciones del CISO pueden

ser asignadas a otros roles (o junto con otros roles) dentro de la estructura or-

ganizativa Algunos de estos roles son el del CRO (Chief Risk Officer) el COO

(Chief Operating Officer) CIO (Chief Information Officer) DPO (Data Protection

Officer) CDO (Chief Data Officer) CTSO (Chief Technology Security Officer) o

CSO (Chief Security Officer) En todo caso seraacute cada entidad quien deba de-

finir el modelo organizativo y de relacioacuten en materia de seguridad dentro de

su organizacioacuten prevaleciendo el principio de segregacioacuten de funciones En

funcioacuten de la madurez de las entidades y su sensibilidad ante la seguridad de

la informacioacuten el rol del CISO se encontraraacute jeraacuterquicamente enmarcado en la

alta direccioacuten (formando parte de los comiteacutes de direccioacuten) en la Direccioacuten de

IT - Tecnologiacuteas de la Informacioacuten en la Direccioacuten de Riesgos o en Seguridad

Corporativa

I2- Marco normativo nacional e internacional

El libro Blanco del CISO10


Los siguientes apartados identifican las aacutereas de actividad sujetas a regulacioacuten

o normativa En cada una se incluye una introduccioacuten sobre cuaacutel es su objeto y

su aacutembito de aplicacioacuten No obstante teniendo en cuenta que el marco legisla-

tivo y regulatorio se encuentran en constante evolucioacuten se recomienda como

buena praacutectica mantenerse actualizado en cada momento de la regulacioacuten de

aplicacioacuten

El Anexo I incluye una lista detallada de referencias a leyes reglamentos y nor-

mativas tanto vigentes como en proyecto referidos a la elaboracioacuten de este

libro blanco

La LEY 112007 DE 22 DE JUNIO DE ACCESO ELECTROacuteNICO DE LOS CIU-

DADANOS A LOS SERVICIOS PUacuteBLICOS ESTABLECIOacute EL ESQUEMA NACIO-

NAL DE SEGURIDAD (en adelante ENS) que aprobado mediante Real Decreto

32010 de 8 de enero tiene por objeto determinar la poliacutetica de seguridad

en la utilizacioacuten de medios electroacutenicos en su aacutembito de aplicacioacuten y estaraacute

constituido por los principios baacutesicos y requisitos miacutenimos que permitan una

proteccioacuten adecuada de la informacioacuten

En 2015 se publicoacute la modificacioacuten del Esquema Nacional de Seguridad a tra-

veacutes del REAL DECRETO 9512015 DE 23 DE OCTUBRE

El ENS tiene por objeto determinar la poliacutetica de seguridad en la utilizacioacuten de

medios electroacutenicos en el aacutembito de la Administracioacuten Electroacutenica en Espantildea

Establece los principios baacutesicos y requisitos miacutenimos que permitan una protec-

cioacuten adecuada de la informacioacuten

En el ENS encontramos la primera referencia legislativa de la figura del respon-

sable de seguridad de la informacioacuten ldquoEl responsable de la informacioacuten de-

terminaraacute los requisitos de la informacioacuten tratada el responsable del servicio

determinaraacute los requisitos de los servicios prestados y el responsable de se-

guridad determinaraacute las decisiones para satisfacer los requisitos de seguridad

de la informacioacuten y de los serviciosrdquo (RD_32010 8 de enero 2010)

Esquema Nacional de Seguridad



Para consideracioacuten del CISO el ENS es de aplicacioacuten en la Administracioacuten Ge-

neral del Estado Administraciones de las Comunidades Autoacutenomas y Adminis-

traciones Locales y en las entidades de derecho puacuteblico vinculadas a ellas Las

relaciones con las Administraciones tambieacuten estaacuten sujetas al ENS

En cualquier caso aunque no sea de aplicacioacuten a las empresas privadas cons-

tituye un marco de referencia uacutetil para el establecimiento de una adecuada

poliacutetica de seguridad y es de especial intereacutes para aquellas que trabajen proacutexi-

mas a la Administracioacuten yo consideren la posibilidad de acreditarse para el

manejo de informacioacuten clasificada

REGLAMENTO (UE) 2016679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que

respecta al tratamiento de datos personales y a la libre circulacioacuten de estos

datos (Reglamento general de proteccioacuten de datos o RGPD en lo sucesivo) y

por el que se deroga la Directiva 9546CE

LEY ORGAacuteNICA DE PROTECCIOacuteN DE DATOS PERSONALES Y GARANTIacuteA DE

LOS DERECHOS DIGITALES (anteriormente denominado Proyecto de Ley Or-

gaacutenica de Proteccioacuten de Datos de Caraacutecter Personal)

El incumplimiento del Reglamento General de Proteccioacuten de Datos (RGPD)

puede acarrear sanciones significativas

La normativa de Proteccioacuten de Datos afecta a todos los paiacuteses de la Unioacuten

Europea y es de obligado cumplimiento para todas las empresas cuando re-

copilan guardan tratan o gestionan datos personales de los ciudadanos de

la Unioacuten Europea Tiene como objetivo devolver al ciudadano el control sobre

coacutemo se utilizan sus datos personales El Reglamento General de Proteccioacuten

de Datos (RGPD) es de aacutembito europeo y por tanto aplicable en Espantildea don-

de en la actualidad se estaacute incorporando al marco legal nacional a traveacutes del

nuevo proyecto de ley de Proteccioacuten de Datos

Proteccioacuten de datos



La disciplina de Proteccioacuten de Datos requiere del nombramiento de un dele-

gado de proteccioacuten de datos (DPD por sus siglas en castellano) o ldquoData Pro-

tection Officerrdquo (DPO por sus siglas en ingleacutes) y sus funciones son compatibles

con el rol del CISO o encontrarse en otra aacuterea de la empresa en funcioacuten del

modelo organizativo (por ejemplo en Asesoriacutea Juriacutedica) En cualquier caso tie-

ne implicaciones directas sobre la proteccioacuten de los sistemas de informacioacuten

y por tanto el CISO siempre deberaacute tenerla en consideracioacuten

DIRECTIVA 20161148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de

julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel

comuacuten de seguridad de las redes y sistemas de informacioacuten en la Unioacuten y su

correspondiente REAL DECRETO-LEY 122018 DE 7 DE SEPTIEMBRE DE SE-

GURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIOacuteN

La directiva NIS es de aacutembito europeo y por tanto directamente aplicable en

Espantildea donde se ha incorporado al marco legal nacional Al igual que el resto

de directivas comunitarias se ha de transponer en leyes nacionales en todos

los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus disposiciones

El legislador nacional en la transposicioacuten de la Directiva ha adaptado a la rea-

lidad nacional la Directiva con la identificacioacuten de las diferentes autoridades

control y CERTs gubernamentales para sus aacutembitos naturales de actuacioacuten

La directiva NIS tiene como objetivo lograr un elevado nivel comuacuten de se-

guridad de las redes y sistemas de informacioacuten dentro de la Unioacuten Europea

Establece condiciones de seguridad para empresas y organismos que pro-

porcionan servicios esenciales enmarcadas en los sectores estrateacutegicos de

la administracioacuten espacio industria nuclear industria quiacutemica investigacioacuten

agua energiacutea salud tecnologiacuteas de la informacioacuten transporte alimentacioacuten

y sistema financiero y tributario Regula la seguridad de redes y sistemas de

informacioacuten utilizados para la provisioacuten de los citados servicios esenciales y

servicios digitales (comercio electroacutenico motores de buacutesqueda y grandes ser-

vicios de computacioacuten en la nube) y establece un sistema de notificacioacuten de

Para referencias concretas veacutease Proteccioacuten de Datos en el Anexo I

Directiva NIS (Network and Information Systems)

INTRODUCCIOacuteN Y CONTEXTO ACTUALINTRODUCCIOacuteN Y CONTEXTO ACTUAL


Es importante destacar que el RD 122018 dice en su artiacuteculo 163

Para referencias concretas veacutease Directiva NIS en el Anexo I

ldquoLos operadores de servicios esenciales designaraacuten y comunicaraacuten a la autori-

dad competente en el plazo que reglamentariamente se establezca la perso-

na unidad u oacutergano colegiado responsable de la seguridad de la informacioacuten

como punto de contacto y de coordinacioacuten teacutecnica con aquella Sus funciones

especiacuteficas seraacuten las previstas reglamentariamenterdquo

La Ley 231992 de Seguridad Privada tiene por objeto regular la realizacioacuten y la

prestacioacuten de actividades y servicios de seguridad privada que desarrollados

por eacutestos son contratados por personas fiacutesicas o juriacutedicas puacuteblicas o privadas

para la proteccioacuten de personas y bienes Igualmente regula las investigaciones

privadas que se efectuacuteen sobre aqueacutellas o eacutestos

Deberaacute existir un modelo de relacioacuten y colaboracioacuten constante entre el CISO

y el CSO tanto desde un punto de vista de gestioacuten de incidentes como para

elevar la funcioacuten de seguridad a los oacuterganos de direccioacuten de las organizacio-

nes El objetivo de proteccioacuten es comuacuten y se deberaacuten buscar al maacuteximo las

sinergias dentro de la organizacioacuten

1) En caso de incidentes en los que pudieran detectarse infracciones pe-

nales administrativas laborales tributarias etc existe la obligacioacuten de in-

formar a las Autoridades de Control El CISO deberaacute informar al Director

de Seguridad de tales eventos siendo eacuteste el responsable de efectuar la

comunicacioacuten

2) En caso de incidentes que pudieran implicar compromiso de informacioacuten

sensible de la empresa gubernamental control de exportacioacuten o de datos

personales deberaacuten tomarse acciones de comunicacioacuten a diferentes como

se indica en los apartados pertinentes (a continuacioacuten dentro de esta mis-

ma seccioacuten)

Hay varios aspectos que el CISO deberaacute tener en cuenta en dicha relacioacuten

Recoge en su artiacuteculo 36 las funciones de la figura del Director de seguridad

para la organizacioacuten direccioacuten inspeccioacuten y administracioacuten de los servicios y

recursos de seguridad privada disponibles entre otras

Ley de Seguridad Privada



Adicionalmente se crea la mesa de Ciberseguridad de Infraestructuras criacuteticas

Ley de Proteccioacuten e Infraestructuras Criacuteticas

3) En caso de investigaciones ya sea por incidentes relacionados con ma-

las praacutecticas acciones deliberadas ciberataques etc el CISO deberaacute ase-

gurarse que existen poliacuteticas refrendadas por Asesoriacutea Juriacutedica que avalen

la legitimidad de la intervencioacuten de los activos informaacuteticos de la empre-

sa incluyeacutendose la intercepcioacuten de comunicaciones inspeccioacuten de orde-

nadores de empleados inspeccioacuten de correo electroacutenico para garantizar

que dichas investigaciones sean legiacutetimas

En la actualidad se encuentra en desarrollo el nuevo reglamento de seguridad

privada doacutende se incluyen expresamente referencias a las actividades de Se-

guridad Informaacutetica y Ciberseguridad

En Espantildea la Ley 82011 de 28 de abril establecioacute por primera vez las medi-

das para la proteccioacuten de las infraestructuras criacuteticas (maacutes conocida ya como

Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real

Decreto 7042011 de 20 de mayo)

La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas

que permitan dirigir y coordinar las actuaciones de los distintos oacuterganos de las

Administraciones Puacuteblicas en materia de proteccioacuten de infraestructuras criacuteti-

cas previa identificacioacuten y designacioacuten de las mismas para mejorar la preven-

cioacuten preparacioacuten y respuesta de nuestro Estado frente a atentados terroristas

u otras amenazas que afecten a infraestructuras criacuteticas

Para cumplir con ese objetivo se impulsa la colaboracioacuten e implicacioacuten de los

organismos gestores y propietarios de dichas infraestructuras frente a ata-

ques deliberados de todo tipo con el fin de contribuir a la proteccioacuten de la

poblacioacuten

En la Ley y en su posterior RD no se menciona la figura del responsable de

Seguridad de la Informacioacuten si bien posteriormente por instruccioacuten de la Se-

cretariacutea de Estado de Seguridad se solicita que los Operadores de Infraes-

tructuras Criacuteticas deben designar y comunicar tanto un CISO como un CISO

suplente

Para referencias concretas veacutease Ley de Seguridad Privada en el Anexo I



La figura del CISO en este aacutembito estaacute totalmente en subordinacioacuten a la figura

del Responsable de Seguridad y Enlace (este siacute definido en la Ley) a la hora de

relacionarse con la autoridad de control CNPIC

Para referencias concretas veacutease Secretos Comerciales en el Anexo I

La normativa de Proteccioacuten de Secretos Comerciales obliga a las empresas

a salvaguardar sus conocimientos teacutecnicos y la informacioacuten empresarial (no

divulgados) contra su obtencioacuten utilizacioacuten y revelacioacuten iliacutecitas La normativa

es de aacutembito europeo y por tanto directamente aplicable en Espantildea Al igual

que el resto de las directivas comunitarias se ha de transponer en leyes na-

cionales en todos los paiacuteses no pudiendo eacutestas en ninguacuten caso contravenir sus

disposiciones

Hay diversas directivas aplicables como Sarbanes-Oxley (SOX) (EEUU pero

extendida internacionalmente que regula las funciones financieras contables

y de auditoriacutea y penaliza severamente el crimen corporativo) Basilea III Direc-

tivas Europeas para el Creacutedito y la Expedicioacuten Reglamentos Locales y Cuerpos

Reguladores como Visa MasterCard AMEX

Por otro lado existe estaacutendar de Seguridad de Datos para la Industria de Tarjeta

de Pago que afecta principalmente al sector financiero y comercio en general

doacutende se transmita procese o almacene informacioacuten de tarjetas de creacutedito

debito PCI-DSS define los requisitos miacutenimos de seguridad

Respecto a los servicios de pago en la Unioacuten Europea es de obligado cumpli-

miento la directiva de servicios de pago (PSD 2) que tiene como objetivo crear

un mercado uacutenico de pagos en la Unioacuten Europea Esta directiva conlleva cam-

bios fundamentales en la industria al dar acceso a terceros a la infraestructura

de los bancos

Para referencias concretas veacutease Sector Financiero-Comercio en el Anexo I

Secretos comerciales

Sector Financiero - Comercio



Las empresas del Sector Juego (juego online) estaacuten sujetas a las siguientes

leyes y normativas

Las empresas del Sector Defensa que manejan informacioacuten gubernamental

clasificada estaacuten sujetas a las siguientes leyes y normativas

Para referencias concretas veacutease Sector Juego en el Anexo I

Ley de Regulacioacuten del Juego al desarrollo de la misma y resolucio-

nes teacutecnicas relacionadas

Ley de Secretos Oficiales Su incumplimiento puede acarrear sancio-

nes penales

Poliacutetica de Seguridad de la Informacioacuten del Ministerio de Defensa

Para las empresas es aplicable el aacuterea de seguridad de la informa-

cioacuten de la ldquoSeguridad de la Informacioacuten en poder de las Empresas

(SEGINFOEMP)rdquo Las normas e instrucciones SEGINFOEMP especifi-

can las medidas de proteccioacuten dirigidas a las empresas y aplicables

por ellas con el objeto de garantizar razonablemente la confiden-

cialidad integridad y disponibilidad de la informacioacuten del Ministerio

manejada por eacutestas como consecuencia de su participacioacuten en pro-

gramas proyectos o contratos del Ministerio

Normas de la Autoridad Nacional para la Proteccioacuten de la Informa-

cioacuten Clasificada (Oficina Nacional de Seguridad del CNI)

Normativa de Seguridad OTAN (North Atlantic Treaty Organization ndash

NATO) De obligado cumplimiento para la ejecucioacuten de programas

OTAN clasificados (por ejemplo Eurofighter y NH90)

Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional Con-

tienen ademaacutes de recomendaciones para la seguridad el procedi-

miento y requerimientos de seguridad para acreditacioacuten de sistemas

para el manejo de informacioacuten clasificada

Sector Juego

Sector Defensa


Normativa OCCAR (Organisation Conjointe de Coopeacuteration en ma-

tiegravere drsquoARmement) De obligado cumplimiento para la ejecucioacuten de

programas OCCAR clasificados (por ejemplo A400M MMF MA-

LE-RPAS y Tiger)

Normativa ESA (European Space Agency) De obligado cumplimiento

para la ejecucioacuten de programas clasificados de la ESA

Normativa LoIFA EDIR (Letter of Intent Framework Agreement

for European Defence Industrial Restructuration) El tratado FA EDIR

se firmoacute el 27 de julio de 2000 en Farnborough (Reino Unido) entre

Francia Alemania Italia Espantildea Suecia y Reino Unido Su objetivo es

facilitar la reestructuracioacuten de la industria europea de defensa con

el fin de promover una base tecnoloacutegica e industrial maacutes potente y

competitiva

Directivas de la Unioacuten Europea Son instrumentos juriacutedicos de que

disponen las instituciones europeas para aplicar las poliacuteticas de la

Unioacuten Europea (UE) Constituyen un instrumento flexible que se em-

plea principalmente como medio para armonizar las legislaciones

nacionales estableciendo obligaciones para los paiacuteses pero dejaacuten-

doles libertad respecto a los medios que hayan de aplicar para al-

canzarlas


Export Control

La disciplina de Export Control puede o no ser competencia del CISO en fun-

cioacuten del modelo organizativo de la empresa Dicha funcioacuten puede ser respon-

sabilidad de otras aacutereas (por ejemplo Asesoriacutea Juriacutedica) Debe existir la figura o

rol de oficial de control de exportacioacuten o ldquoExport Control Officerrdquo responsable

del cumplimiento normativo En cualquier caso tiene implicaciones directas

sobre la proteccioacuten de los sistemas de informacioacuten y por tanto el CISO debe

siempre tenerla en consideracioacuten


Normativa US ITAR (Part 130) ndash International Traffic-In Arms Regula-

tions Regula la exportacioacuten de material militar

Normativa US EAR (Export Administration Regulation ndash regula la ex-

portacioacuten de material de doble uso (militarcivil)

Reglamento espantildeol de control del comercio exterior de material de

defensa de otro material y de productos y tecnologiacuteas de doble uso

Normas de Export Control en la Unioacuten Europea u otros paiacuteses que

dispongan de legislacioacuten o normativa en esta materia



Para referencias concretas veacutease Export Control en el Anexo I

Las normativas de control de exportacioacuten tienen caraacutecter nacional (Estados

Unidos Reino Unido Espantildea etc) y tienen como objetivo proteger que la tec-

nologiacutea exportada a otros paiacuteses y empresas u organismos no pueda ser re-

exportada a terceros sin permiso del creador Algunas de ellas como la esta-

dounidense ITAR son muy restrictivas implican controles de nacionalidades

del personal y pueden conllevar significativas sanciones en caso de incumpli-

miento Algunas normativas de control de Exportacioacuten son


ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA

II


La seguridad de la informacioacuten consiste en la proteccioacuten de la informacioacuten

y los sistemas e infraestructuras informaacuteticas donde se procesa almacena y

transmite buscando mantener la confidencialidad la disponibilidad e integri-

dad de la informacioacuten y la trazabilidad de acciones El presente capiacutetulo pre-

tende identificar las actividades del CISO

El Responsable de Seguridad de la Informacioacuten debe contar con la formacioacuten

la capacidad y experiencia necesaria para alinear la seguridad de las redes y

sistemas de informacioacuten de la empresa con los objetivos de Negocio Esa pro-

teccioacuten de la informacioacuten de los productos y servicios de la empresa lo haraacute

en el desempentildeo de sus funciones y responsabilidades

Como ocurre con el modelo organizativo no existe una definicioacuten uacutenica de

las funciones responsabilidad del CISO Se pretende no obstante realizar una

relacioacuten lo maacutes exhaustiva posible identificando de alguacuten modo aqueacutellas que

consideramos imprescindibles y aqueacutellas que en funcioacuten del tipo de organiza-

cioacuten o madurez de esta podriacutean recaer en otras aacutereas de la organizacioacuten

II1- Funciones del CISO

Las siguientes responsabilidades deben entenderse como la misioacuten principal

de un CISO entendiendo las mismas como no delegables Siendo el miacutenimo

exigible para considerar que existe realmente un responsable de la seguridad

de la informacioacuten en una entidad

Alinear la estrategia de seguridad de la informacioacuten con los objetivos de la empresa

Definir la normativa de seguridad (Poliacuteticas Normas y procedimientos) y velar por su cumplimiento

Gestionar los riesgos de seguridad de la informacioacuten y establecer el plan de accioacuten correspondiente

Velar e impulsar la identificacioacuten de requisitos de seguridad

Identificar e impulsar la identificacioacuten y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos procedimentales asiacute como los teacutecnicos y humanos)

Supervisar el Nivel de seguridad el cumplimiento de los controles y el gra-do de eficacia de las medidas aplicadas

Supervisar el cumplimiento de la legislacioacuten en los aspectos referidos a su aacutembito de actuacioacuten

Interlocutar con la Alta Direccioacuten en materia de seguridad de la informacioacuten (meacutetricas reporting de riesgos planes de accioacuten amenazas e incidencias)

Interlocutar con otras empresas instituciones reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa-cioacuten

Formar concienciar y sensibilizar a la organizacioacuten en materia de seguridad de la informacioacuten

Gestionar la operacioacuten de seguridad de la informacioacuten sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten

Gestionar los incidentes de seguridad sea directa a traveacutes de servicios externalizados o a traveacutes de otras aacutereas de la organizacioacuten

Prevenir el fraude al menos el cometido a traveacutes de medios electroacutenicos



Las funciones descritas anteriormente son responsabilidad del CISO en todos

los casos si bien en funcioacuten de cada entidad puede ser delegada su ejecu-

cioacuten a otros equipos




II2- Actividades del CISO

Para llevar a cabo estas funciones son muchas las actividades que desarrolla

el CISO por lo que a continuacioacuten se desglosan las actividades que desarro-

llan las funciones del CISO

Se ha tomado como marco de referencia el del NIST (National Institute of

Standards and Technology) que es en la actualidad el maacutes utilizado (existen

otros marcos de control que serviriacutean igualmente) si bien ampliaacutendolo en unos

casos y modificandolo en otros

Conocer el contexto de negocio

Definir las estrategias de la organizacioacuten en seguridad de la informacioacuten asegurando que se alinean con el resto de las estrategias de la organiza-cioacuten y de que son aprobadas por la Direccioacuten

Una vez aprobada la estrategia desarrollar su ejecucioacuten bien directamen-te o mediante la supervisioacuten de otras aacutereas que estaacuten involucradas en dicha ejecucioacuten y mediante la coordinacioacuten con otras aacutereas de la organi-zacioacuten

Conocer los activos de la empresa (personas procesos aplicaciones re-des y sistemas) su valor y criticidad

Conocer los aspectosobligaciones normativos legales y contractuales aplicables

Identificar los recursos necesarios (personal y presupuesto) para realizar la funcioacuten de seguridad de la informacioacuten adecuadamente

Definir el mapa de riesgos de seguridad de la empresa Realizar la evalua-cioacuten de riesgos de Seguridad de la Informacioacuten de la organizacioacuten inclu-yendo tanto las actividades de anaacutelisis de riesgo como de evaluacioacuten de los mismos y preparacioacuten de los planes de tratamiento de riesgos deriva-dos En ocasiones esta actividad cubriraacute el total de gestioacuten de riesgos de la organizacioacuten

Identificar el nivel de riesgo aceptable para la Organizacioacuten

Definir el Plan Estrateacutegico de Seguridad y derivar los programas necesa-rios para llevarlo a cabo

IDENTIFICAR


Definir el marco de control normativo de seguridad (poliacuteticas normas guiacuteas procedimientos) Establecer los reportes hacia la Alta Direccioacuten los oacuterganos de gobierno las aacutereas de intereacutes (Auditoriacutea Control Interno Ries-gos RRHH etc) y los stakeholders en general

Establecer los comiteacutes y grupos de trabajo necesarios para coordinar la seguridad de la informacioacuten dentro de la compantildeiacutea Deberiacutea existir al me-nos un comiteacute perioacutedico con participacioacuten directiva

Establecer los contactos pertinentes con reguladores peers (sectoriales y multisectoriales) fuerzas y cuerpos del estado fabricantes y proveedores estrateacutegicos

Establecer los canales de reporte y colaboracioacuten con autoridades y regu-ladores CERTs de intereacutes y fuerzas y cuerpos de seguridad del Estado

Disentildeo e implantacioacuten de la arquitectura de seguridad

Seguridad en el datoinformacioacuten

Seguridad en la infraestructura IT (perimetral redes servidores)

Seguridad en dispositivos de usuario

Seguridad en entornos Cloud

Seguridad por defecto y en el disentildeo en aplicaciones (desarrollo seguro)

Gestioacuten proactiva de vulnerabilidades

Asegurar el cumplimiento normativo

Definir y participar en las actividades de formacioacuten y concienciacioacuten en Se-guridad de la Informacioacuten del personal de la Organizacioacuten Establecer los planes de concienciacioacuten y sensibilizacioacuten a toda la organizacioacuten

Supervisar (al menos) la seguridad y privacidad de los datos En particular esta funcioacuten queda reforzada en tanto que el CISO ya dispone en gran me-dida de la cualificacioacuten y conocimientos que el RGPD requiere a la figura del DPD

PROTEGER

ACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESAACTIVIDADES DE SEGURIDAD DE LA INFORMACIOacuteN EN LA EMPRESA


DETECTAR

Supervisioacuten de las actividades de actualizacioacuten permanente y correccioacuten de errores en los sistemas de informacioacuten de la organizacioacuten lo que inclu-ye la realizacioacuten de pruebas de penetracioacuten en los sistemas seguimiento de actividades de parcheo y correccioacuten de vulnerabilidades inventario TI etc

Monitorizacioacuten y alertas sobre la actividad de personas sistemas y aplica-ciones

Monitorizacioacuten activa sobre amenazas avanzadas (threat inteligence)

Deteccioacuten de activos no controladosno corporativos

Deteccioacuten de comportamiento normal anomaliacuteas y desviaciones

Deteccioacuten de ataques a la infraestructuracomunicaciones (DDoS)

Elaboracioacuten de forenses

Participacioacuten en ciberejercicios (simulacioacuten ofensiva y respuesta)

Threathunting

Defensa activa



RESPONDER Y RECUPERAR

Definir implantar y encabezar la respuesta ante incidentes de seguridad de la informacioacuten en la organizacioacuten

Bloquear contener resistir y gestionar las crisis derivadas de un ciberata-que

Denunciar ante las autoridades competentes un ciberataque

Realizar los informes periciales y defenderlos en sede judicial (si procede)

Disentildear los playbooks de respuesta ante incidentes

Disentildear la respuesta automatizada ante casos de uso conocidos

Establecer y llevar a cabo la notificacioacuten de incidentes conforme a las dis-tintas leyes y normativas

Supervisioacuten de la continuidad de negocio de la organizacioacuten incluyendo y superando los planes de recuperacioacuten ante desastres o los planes de contingencia TI desarrollados por las aacutereas de sistemas de la informacioacuten



INFORMAR Y COORDINARSE

Informarreportar a la alta Direccioacuten y cuando proceda a autoridades competentes o en sede judicial

Coordinarse con otras figuras relevantes relacionadas con su aacutembito de actuacioacuten tales como Proteccioacuten de Datos aacuterea juriacutedica Auditoriacutea Ries-gos Comunicacioacuten Recursos Humanos

Coordinarse con otros centros de respuesta a incidentes

Colaborar en grupos de intereacutes en esta materia

Algunas organizaciones con mayor madurez recursos yo circunstancias

especiacuteficas pueden haber establecido varias funciones y roles dentro de su

organizacioacuten para satisfacer todas las necesidades sentildealadas Todo ello sin

perjuicio de la capacidad del CISO de abordar todas ellas y de la necesidad

del CISO de estar informado yo supervisar estos aspectos de la organizacioacuten

para asegurar el cumplimiento de los objetivos de seguridad de la informa-

cioacuten

Finalmente destacaremos que es necesario que las Organizaciones definan

no soacutelo el modelo de Organizacioacuten y relacional del CISO sino como parte de

ese modelo deben establecer la segregacioacuten o no de funciones de la seguri-

dad de la informacioacuten Por ejemplo el CISO puede marcar la estrategia y po-

liacuteticas e implementar los controles de seguridad (operar la seguridad ) o bien

segregar la funcioacuten de estrategia poliacuteticas y supervisioacuten en el CISO y operar la

seguridad desde otra aacuterea

Tambieacuten cabe sentildealar que un CISO no debe participar de la ejecucioacuten de las

operaciones en TI diarias ni de la solucioacuten de las incidencias derivadas de la

propia operacioacuten o de la merma de los activos TI por su propio uso

La segregacioacuten de funciones en materia de seguridad de la informacioacuten es en

muchos casos necesaria para poder asumir en el mismo responsable roles

diferentes como puede ser aquel que ejerza de CISO y de Delegado de pro-

teccioacuten de Datos para una misma Organizacioacuten



La mera inspeccioacuten de las actividades de un CISO revela que sus responsabili-

dades incluyen pero no se limitan a los Sistemas de Informacioacuten y a aspectos

TI Ciertamente el CISO debe ser un experto en Seguridad de la Informacioacuten

en TI al igual y al mismo nivel que lo debe ser en Seguridad de la Informacioacuten

en entornos no TI

Esa misma inspeccioacuten de las actividades sentildeala repetidamente que la respon-

sabilidad del CISO se centra fundamentalmente en la definicioacuten y supervisioacuten

de los distintos elementos y campos que son necesarios para asegurar la co-

rrecta gestioacuten de la seguridad de la informacioacuten

Por ello un CISO debe ser transversal a toda la organizacioacuten en la medida en

que toda la organizacioacuten tiene acceso a la informacioacuten y maneja informacioacuten

en sus actividades y funciones Las medidas de proteccioacuten (TI y no TI) deben

ser tambieacuten transversales y deben ser aplicadas en toda la organizacioacuten Y

debe ser tarea del CISO dirigir esta actividad en nombre y como miembro del

Consejo de Administracioacuten de la organizacioacuten proporcionando la seguridad

de la informacioacuten que la organizacioacuten necesite en cada momento para sus ob-

jetivos de negocio A esto es a lo que se ha definido como ldquoSeguridad Globalrdquo

y que abarca todos los aspectos de la ldquoSEGURIDADrdquo

Asiacute algunas definiciones de la funcioacuten de CISO realizadas en entornos y ca-

suiacutesticas particulares pecan de inexactitud al reutilizar inadecuadamente una

funcioacuten ya existente en las organizaciones con una misioacuten especiacutefica a tal en-

torno y casuiacutestica particular Por ejemplo la definicioacuten hecha por CNPIC ht-

tpswwwboeesbuscardocphpid=BOE-A-2011-7630 y httpswwwboe

esbuscaractphpid=BOE-A-2011-8849 define como ldquoCISOrdquo una funcioacuten de

un especialista teacutecnico TI que ya existe con otro nombre ldquoresponsable de ges-

tioacuten de vulnerabilidadesrdquo

II3- Actividades del CISO no directamente relacionadas con TI



II4- El CISO como Directivo

Aunque muchas organizaciones consideran la figura del CISO como un recieacuten

llegado a la organizacioacuten esta afirmacioacuten simplemente revela que estas orga-

nizaciones no han sido conscientes de su necesidad de esta figura hasta tiem-

pos recientes Las organizaciones con maacutes madurez han nombrado y cuentan

con un responsable de la seguridad de la Informacioacuten y una estructura orga-

nizativa asociada a eacutel desde hace maacutes de 25 antildeos Y ciertamente se trata de

una figura cada vez maacutes demandada por las organizaciones a medida que se

convierte en una cuestioacuten prioritaria para su negocio la adecuada proteccioacuten

de la informacioacuten y activos que utilizan en sus actividades sea propia o de ter-

ceros sea directamente o con colaboradores

En la actualidad el CISO es la maacutexima autoridad en materia de seguridad de la

informacioacuten en una organizacioacuten

Es el directivo de la entidad que se encarga de dirigir orientar la estrategia de

seguridad de la entidad y coordinar su implantacioacuten Es su responsabilidad ali-

near los objetivos de seguridad de la informacioacuten de la entidad con sus objeti-

vos de negocio Con el mismo horizonte y visioacuten que el resto de los directivos

de la organizacioacuten en sus aacutembitos respectivos sean la tecnologiacutea (CTO) los

Sistemas de Informacioacuten (CIO) o la ejecucioacuten del total de la organizacioacuten (CEO)

Como tal directivo el CISO debe liderar diferentes oacuterganos de gestioacuten como

el comiteacute de seguridad de la informacioacuten o el comiteacute de ciberseguridad en

otros ser parte relevante como puede ser el caso del comiteacute de proteccioacuten de

datos y en otros ser un miembro permanente y activo como en el comiteacute de

riesgos transformacioacuten digital o incluso comiteacute de direccioacuten doacutende materialice

su misioacuten principal de gestioacuten e implantacioacuten de la estrategia de seguridad de

la informacioacuten corporativa

Obviamente no todas las organizaciones tienen estos comiteacutes pero queremos

significar que en aquellos que esteacuten constituidos el CISO debe procurar ejer-

cer un papel relevante y activo en ellos



III1- Seguridad de la Informacioacuten evolucioacuten de la funcioacuten de Con-trol TI a Gestioacuten de riesgos y cumplimiento

Para que sirva de contexto la seguridad que hoy en diacutea conocemos como Ci-

berseguridad (al menos para la mayor parte de la poblacioacuten) no siempre fue

asiacute y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-

cionando los departamentos de seguridad y su nombre

Allaacute por los antildeos 90 este departamento se llamaba seguridad de control de

acceso principalmente porque los datos se ldquoencontrabanrdquo en su mayoriacutea en

el CPD En este contexto el CISO era una persona operativa que aplicaba las

medidas de seguridad sobre el control de acceso a la informacioacuten Despueacutes y

puesto que existiacutea una figura de seguridad fiacutesica evolucionoacute hacia seguridad

loacutegica para hacer una distincioacuten ya que no soacutelo se trata de control de acceso

usuarios etc sino que abarca maacutes temas tecnoloacutegicos el CISO en estos casos

extendioacute su influencia pero siempre referido al control de acceso A continua-

cioacuten hubo un movimiento en el sentido de denominar a este departamento

como seguridad perimetral ya que en aquella eacutepoca era donde se poniacutea el

foco de proteccioacuten El CISO pasoacute a controlar toda la seguridad perimetral y

por tanto a ver como un todo los diversos dispositivos que la componiacutean y

que requeriacutean de reglas y procedimientos de actuacioacuten realmente no se ha-

biacutea salido de tener a administradores de sistemas de seguridad

LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN III

Actualmente se ha dado un paso adelante incorporaacutendose el CISO a los pro-

cesos de negocio de las organizaciones y por tanto esta figura ha dejado de

dedicarse uacutenicamente a tareas teacutecnicas pasando a realizar labores de orga-

nizacioacuten coordinacioacuten supervisioacuten y definicioacuten de todos los aspectos de la

Seguridad de la Informacioacuten en la Organizacioacuten

Tambieacuten la denominacioacuten del alcance objetivo de lo que protegiacutea ha ido evo-

lucionando con el tiempo Inicialmente era Seguridad Informaacutetica puesto que

el foco estaba en los equipos informaacuteticos maacutes tarde se denominoacute seguridad

loacutegica tanto para denotar que protegiacutea activos maacutes amplios que los ordena-

dores como una forma de identificarla diferenciaacutendola de la seguridad fiacutesica

El posterior nombre de Seguridad de la Informacioacuten puso el foco en la infor-

macioacuten (principal activo) y ya no soacutelo en los sistemas que la tratan Finalmente

el termino Ciberseguridad es que estaacute calando en las Organizaciones y en la

Sociedad

Si bien es cierto que inicialmente la Ciberseguridad puede ser considerada

como una parte de la Seguridad de la Informacioacuten (la relativa a sistemas co-

nectados al ldquoCiberespaciordquo -Internet-) lo cierto es que tanto por ser praacutecti-

camente imposible encontrar un activo de informacioacuten que no se conecte

directa o indirectamente a Internet como por la asociacioacuten del teacutermino a ata-

ques que ya no soacutelo tratan de informacioacuten sino tambieacuten de vidas humanas el

teacutermino se va fortaleciendo frente a otras denominaciones

Una vez conocido el contexto de la evolucioacuten del departamento de seguridad

de la informacioacuten tambieacuten es importante conocer los nombres de la figura

que ha encabezado esta aacuterea Ya que no siempre se llamoacute CISO al menos no

en Espantildea

A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-

ridad informaacutetica responsable de seguridad loacutegica responsable de seguridad

informaacutetica o director de seguridad informaacutetica (cuando ya empezaba a verse

la seguridad en un nivel ejecutivo) etc El nombre por el que maacutes se le conoce

hoy en diacutea es el de CISO teacutermino procedente del entorno cultural anglosajoacuten

Toda esta transformacioacuten ha dado lugar a que el CISO esteacute integrado en las

Organizaciones en diferentes posiciones que los siguientes modelos intentan

explicar


LA FUNCIOacuteN DE SEGURIDAD DE LA INFORMACIOacuteN

Una vez ubicado el origen y evolucioacuten del nombre del departamento de se-

guridad de la informacioacuten y el nombre del puesto que lo gestiona podemos

entrar a analizar diferentes modelos organizativos y relacionales dentro de

una determinada empresa independientemente del sector

Al principio como hemos visto en los nombres de los departamentos el CISO

(no llamado asiacute antes) se ubicaba en aacutereas muy dispares esto puede seguir

ocurriendo seguacuten la empresa tamantildeo naturaleza sector etc Es muy impor-

tante recalcar que no existe un modelo uacutenico o perfecto sino que todos son

imperfectos y por tanto contaraacuten con ventajas y desventajas no se trata de

decidir cuaacutel de estos debe existir sino de plantear un anaacutelisis de la mayoriacutea de

los modelos que existen y que son igualmente vaacutelidos para cada organizacioacuten

No debemos olvidar que al final las empresas las componen trabajadores es

decir personas que se relacionan entre ellos con un mismo objetivo

Se configura consecuentemente como una funcioacuten cada vez maacutes ldquocrossrdquo

(transversal) en la medida en la que todos los procesos de negocio se van

digitalizando En esta evolucioacuten hacia una visioacuten holiacutestica de la tecnologiacutea la

gestioacuten de los riesgos con ella relacionados se convierte en un elemento es-

trateacutegico de la toma de decisiones El CISO se configura como un Gestor y al

mismo tiempo Asesor de la Direccioacuten General capaz de organizar los recursos

necesarios para asegurar la resiliencia de la organizacioacuten frente a las cibera-

menazas

Por lo tanto estaacute claro que la SEGURIDAD y la figura del CISO debe de ser

cada vez maacutes una funcioacuten multidisciplinar Con muacuteltiples aacutereas de accioacuten y

con diversidad de competencia seguacuten las diferentes organizaciones


El entorno regulatorio y los desafiacuteos que el cumplimiento normativo represen-

tan para el gobierno de las tecnologiacuteas de la informacioacuten ven en la figura del

CISO un referente dentro de la organizacioacuten Los nuevos paradigmas tecno-

loacutegicos como son el Cloud Computing la Inteligencia Artificial el Internet de

las Cosas etc centraraacuten el desarrollo normativo de los proacuteximos antildeos En la

medida en que la gestioacuten de los riesgos tecnoloacutegicos se traduzca en dere-

chos y obligaciones una funcioacuten del CISO seraacute la de colaborar para asegurar el

cumplimiento de este nuevo entorno regulatorio

En una realidad convergente donde la conectividad se convierte en un requi-

sito baacutesico del entorno la Seguridad de la informacioacuten debe asegurar la pro-

teccioacuten de los activos tanto fiacutesicos como loacutegicos a traveacutes de una organizacioacuten

eficiente de las capacidades recursos y procesos tecnoloacutegicos El objetivo es

la seguridad confianza y resiliencia de los entornos y de las personas



Podemos definir Gobierno Corporativo como ldquoLa estructura a traveacutes de la cual

se establecen los objetivos de la empresa y se determinan los medios para

alcanzar dichos objetivos y monitorear el desempentildeordquo (OCDE) Esta estructura

y medios incluyen

III2- Gobierno de la Seguridad de la Informacioacuten

La estrategia corporativa global

Poliacuteticas corporativas y sus respectivas normas procedimientos y alinea-mientos

Planes estrateacutegicos de accioacuten-reaccioacuten y operativos Sensibilizacioacuten y capacitacioacuten Administracioacuten de riesgos Controles Auditoriacuteas y otras actividades de aseguramiento


Los Gobiernos de Seguridad de la informacioacuten forman parte de las responsa-

bilidades del Gobierno Corporativo La seguridad de la informacioacuten no se con-

cibe sin un sistema de gestioacuten y un gobierno efectivo ya que los aspectos de

las TI son transversales a toda la organizacioacuten Cualquier aspecto de mejora

ha de abordarse de manera corporativa

Las organizaciones han tenido que realizar una transformacioacuten radical con el

avance de las tecnologiacuteas de la informacioacuten que ha convertido cualquier ele-

mento fiacutesico en un bloque de informacioacuten almacenada digitalmente al que

hay que aportar seguridad ya que cualquier dantildeo en la confidencialidad o

integridad de la informacioacuten puede causar dantildeos irreparables para las orga-

nizaciones

El Gobierno de la seguridad debe alinear los objetivos y estrategias de Se-

guridad de la informacioacuten con los objetivos y estrategias del negocio Debe

estar soportada por un sistema de control interno basado en el anaacutelisis de los

riesgos que tenga en consideracioacuten la legislacioacuten vigente y las regulaciones


Es muy importante conocer cuaacuteles son los grados de autoridad y responsabi-

lidad asiacute como la interaccioacuten entre las distintas jerarquiacuteas de la organizacioacuten

A nivel general podemos hablar de dos tipos de estructuras organizativas

Horizontales aquellas en las que sobresalen las figuras y los cargos direc-tivos por encima del resto de integrantes

Verticales en las que dichos cargos delegan las responsabilidades en ni-veles intermedios o bajos

En la actualidad nos encontramos con una realidad creciente en nuacutemero e im-

portancia las ciberamenazas que obligan a las organizaciones a reinventarse

en materia de seguridad ya que las herramientas protocolos y procesos tra-

dicionales han dejado de ser efectivos Proteger el centro de datos y controlar

el acceso a los recursos internos se han convertido en puntos estrateacutegicos a

tener en cuenta en cualquier organizacioacuten

Asiacute las cosas cualquiera que sea el arquetipo que prevalezca en una orga-

nizacioacuten o la forma como se encuentre organizada la funcioacuten de seguridad

de la informacioacuten eacutesta debe sustentarse en el maacutes alto nivel directivo de la

organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY

FEUDAL MONARCHY REPUBLIC DEMOCRACY COMMUNITY

ACCOUNTABILITYAUTHORITY

INFORMATION DISTRIBUTION

VERTICAL BLENDED HORIZONTAL


De esta forma para la Seguridad de la Informacioacuten nos podemos encontrar

las siguientes capas de entidades y responsabilidades

bull Gobierno Elaborar Programa Seguridad acorde a los Requisitos Estrateacutegicos

bull Gestioacuten Ejecuta el Programa de Seguridad (funciones procesos y taacutecticas)

bull Operacioacuten Ejecuta los Procesos de seguridad


La Direccioacuten de las organizaciones tiene que ser consciente de los ciberries-

gos que conlleva su actividad debe conocer las estrategias planes y medios

de que disponen para defenderse de un ciberataque debe comprender el

impacto potencial que puede tener un ciberataque en la organizacioacuten y debe

contar con planes de reporting para responder a tiempo y con solvencia a un

ciberataque ya que el tiempo de reaccioacuten es un factor clave

Gobierno deSeguridad

Gestioacuten deSeguridad

Gobierno

Gestioacuten

OperacionesPlataforma deOperaciones de Seguridad

Operacionesde TI

Manager

CISO

Nivel de proteccioacuten

Los mecanismos de vigilancia de que dispone

La preparacioacuten que tienen para dar respuesta y recuperar la normalidad en caso de un ciberataque

Por ello es imprescindible que la Direccioacuten reciba un adecuado reporte de la

valoracioacuten perioacutedica de su organizacioacuten en teacuterminos del



El cuadro de mando que le tiene que llegar a la Direccioacuten debe proporcionar

una gran visibilidad sobre el estado general de la seguridad de la informacioacuten

en relacioacuten con los objetivos de negocio de la organizacioacuten Este reporte debe

ser entendible conciso y comparable

El conocimiento y la capacidad de accioacuten de un CISO viene de una forma de-

terminante impuesta por su ubicacioacuten en el Organigrama de la empresa y en

su capacidad de influencia y concienciacioacuten

En el siguiente apartado veremos algunos de los diferentes modelos Organi-

zativos y relacionales



MODELOS ORGANIZATIVOS Y RELACIONALES IV

En este modelo organizativo el CISO se encuentra en el departamento de tec-

nologiacutea en el aacuterea de infraestructura que seguacuten la empresa puede llamarse

produccioacuten explotacioacuten etc Este modelo se presenta en compantildeiacuteas que to-

daviacutea no consideran la seguridad de la informacioacuten como un aspecto suficien-

temente importante como para dotarlo de personalidad propia La figura del

CISO en este modelo se considera como un administrador de los sistemas de

seguridad

IV1- Modelo 1 El CISO dentro de una subaacuterea de tecnologiacutea

Comunicacionesy SeguridadPerimetral

CEO

CxO

CIO

Produccioacuten Desarrollo Infraestructura Arquitectura


El CISO cuenta con su propio departamento es decir existe dentro del organi-

grama el departamento de seguridad de la informacioacuten pero se adscribe a la

misma estructura jeraacuterquica dentro del departamento de tecnologiacutea

Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-

ciones por ejemplo seguridad de la informacioacuten puede ser un aacuterea de defini-

cioacuten y control y las otras funciones de ejecucioacuten mantenimiento y explotacioacuten

estariacutean repartidas por el resto de los departamentos

MODELOS ORGANIZATIVOS Y RELACIONALES

Ventajas

Inconvenientes

bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacutea

bull Menor capacidad de decisioacutenbull Menor visibilidadbull Posible conflicto de intereses

IV2- Modelo 2 El CISO en un aacuterea especiacutefica de seguridad

CEO

CxO

CIO

Produccioacuten Desarrollo CISO Infraestructura Arquitectura

En este modelo el CISO no depende de Tecnologiacutea y reporta normalmente al

COO (Chief Operating Officer) o al CRO (Chief Risk Officer) pero como bien in-

dica la ilustracioacuten puede ser cualquier rol ejecutivo de una organizacioacuten (CxO)

Funciona como un ldquostaffrdquo sobre todos los aspectos concernientes a la seguri-

dad de la informacioacuten desde el punto de vista de riesgos o amenazas a dicha

informacioacuten

Este modelo estaacute desplegado en organizaciones que apuestan por el CISO

como un nivel directivo pero sin llegar al comiteacute de direccioacuten ya que dicha

representacioacuten estaacute definida en el CRO

IV3- Modelo 3 Seguridad de la informacioacuten fuera de Tecnologiacutea



Ventajas

Inconvenientes

bull Muy cercano de la operativabull Cercaniacutea con el personal de tecnologiacuteabull Toma de decisioacuten a nivel tecnoloacutegico

bull Menor visibilidadbull Posible conflicto de intereses

CEO

CxO COOCRO

COOCROCIO


CISO



Para este modelo el CISO no soacutelo estaacute fuera de Tecnologiacutea sino que es con-

siderado un ejecutivo de alto nivel y por tanto pertenece al comiteacute de di-

reccioacuten Suele reportar al Director General presidente o consejero delegado

(depende la de organizacioacuten) Es un modelo maacutes evolucionado y tiene cabida

en empresas y organizaciones que consideran la seguridad de la informacioacuten

necesaria e imprescindible para el desarrollo del negocio

Las poliacuteticas y procedimientos de seguridad definidos por este departamento

directivo se ejecutan y operan desde cada aacuterea de la empresa en conformi-

dad con el CIO

IV4- Modelo 4 El CISO dentro de la alta direccioacuten


Ventajas

Inconvenientes

bull Mayor capacidad de decisioacutenbull Mayor visibilidadbull No hay conflicto de intereses

bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Posible solapamiento con aacutereas de control del riesgo

CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes


bull Lejos de la operativabull Lejaniacutea con el personal de tecnologiacuteabull Se requiere de maacutes aacutereas que operen la Seguridad Informaacutetica



En la segunda liacutenea de defensa se encontraraacute el CISO (haya o no segregacioacuten

de funciones en seguridad de la informacioacuten) asiacute como como el aacuterea de cum-

plimiento y en la tercera liacutenea generalmente y por requisitos de segregacioacuten

de funciones corresponde al Departamento de Auditoria Interna y Auditoriacutea

externa

IV5- Modelo 5 Modelo Organizativo

Ademaacutes de estos modelos el CISO puede formar parte de un modelo de or-

ganizacioacuten que dependa de la estrategia e incluso de condiciones legales o

de un oacutergano gestor recomendado por la regulacioacuten Hay sin duda una gran

tendencia a modelizar la gestioacuten de la seguridad en lo que se llama ldquoLas 3

liacuteneas de defensardquo dentro de una organizacioacuten En la primera liacutenea de defensa

estaraacute la seguridad operativa en la que se encontraraacute el CISO si en su orga-

nizacioacuten no hay segregacioacuten de funciones entre la seguridad operativa y el

CISO

En este modelo el CISO se configura como un gestor de las 2 primeras liacuteneas

de defensa y que se apoyan en las buenas praacutecticas para gestionar los riesgos

de forma global en la organizacioacuten


A traveacutes de estas 3 liacuteneas de defensa se lleva a cabo un gobierno de la segu-

ridad basado en la segregacioacuten del control y de las funciones sin conflicto de

intereses En la primera liacutenea se ejecutan las acciones maacutes operativas y maacutes

cercanas al negocio al diacutea a diacutea Desde la segunda liacutenea se realizan los con-

troles la monitorizacioacuten y el seguimiento de las acciones de la primera liacutenea

con respecto al riesgo de la organizacioacuten y por uacuteltimo la tercera liacutenea verifica

lo que se ha realizado tanto en la primera como la segunda liacutenea para que

sean independientes con funciones distintas y buscando el mayor beneficio

referido a la gestioacuten de los riesgos globales

MODELOS ORGANIZATIVOS Y RELACIONALESMODELOS ORGANIZATIVOS Y RELACIONALES

1ordf Liacutenea de Defensa

Negocio MarketingOperacionesTecnologiacuteaSeguridad TI


Cumplimiento normativoLegalControl financieroSeguridad de la informacioacutenGestioacuten del riesgo


Auditoriacutea internaAuditoriacutea externa

Dentro de este modelo organizativo el CISO gestiona de forma unificada la

seguridad de la informacioacuten En la mayoriacutea de las empresas e instituciones

esta solucioacuten partioacute desde la primera liacutenea de defensa y por tanto alliacute donde

se ubica al CISO En otras organizaciones sin embargo se encuentra en la

segunda liacutenea y en la primera liacutenea existe un responsable de seguridad tecno-

loacutegica (Chief Technology Security Officer) un LISO (Local Information Security

Officer) e incluso un BISO (Bussiness Information Security Officer)

En el caso de Espantildea este modelo es de aplicacioacuten reciente y en algunas or-

ganizaciones el CISO aunque esteacute ubicado en Tecnologiacutea y por tanto como

primera liacutenea de defensa en realidad realiza bajo su ldquoparaguasrdquo funciones que

son tanto de la primera como de la segunda a lo que en el sector se le llama

la liacutenea 1 punto 5 (15)

El CISO es una posicioacuten a nivel ejecutivo cuya misioacuten es proporcionar al oacuterga-

no de gobierno de una compantildeiacutea (normalmente comiteacute de direccioacuten) apoyo

y asesoramiento experto en materia de seguridad de la informacioacuten y protec-

cioacuten de activos A diferencia de un director de seguridad de la informacioacuten el

CISO tiene responsabilidad global sobre la gestioacuten de la seguridad de la infor-

macioacuten y ademaacutes es la figura que representa la seguridad de la informacioacuten

en el comiteacute ejecutivo de la compantildeiacutea

Para cumplir con los objetivos de mantener y desarrollar el sistema de ges-

tioacuten de seguridad de la informacioacuten y tener capacidad taacutectica para desarrollar

dicho programa con eacutexito el CISO necesita ser parte del equipo de gestioacuten

senior de la compantildeiacutea no simplemente un gestor teacutecnico

Tras un anaacutelisis de estos modelos lo maacutes importante es determinar las tareas

y caracteriacutesticas de la figura del CISO sin estar influido por la posicioacuten del CISO

dentro de la organizacioacuten o a quieacuten reporte en la misma


IV6- Caracteriacutesticas de un CISO


httpswwwpaloaltonetworkscomcontentdampaloaltonetworks-com

en_USassetspdftech-briefsgovernance-of-cybersecuritypdf

Como hemos dicho antes no hay modelo mejor que otro o modelo perfecto

ya que si asiacute fuese todo el mundo utilizariacutea el mismo

A continuacioacuten se exponen distintos estudios que avalan estos principios

En 2015 El GTISC (Georgia Tech Information Security Center) indicaba que la

segregacioacuten de responsabilidades continuaba siendo un problema en las liacute-

neas de reporte CISOCIO tal como se refleja en el siguiente informe

En esa liacutenea hay tres claves que facilitan al CISO el eacutexito


IV7-iquestA quieacuten debe reportar el CISO

Independencia Debe de ser independiente de influencias o presiones de aquellos involucrados en el diacutea a diacutea Por ello no debe ser juez y parte en temas tecnoloacutegicos tanto desde el punto de vista operativo como de in-versioacuten

Empoderamiento Debe tener el poder dentro de la organizacioacuten con el apoyo y supervisioacuten del oacutergano ejecutivo (ej Comiteacute de Seguridad) para recomendar implantar procesos salvaguardas y medidas de formacioacuten y concienciacioacuten relacionadas con la seguridad de la informacioacuten

Posicioacuten organizativa La posicioacuten en una organizacioacuten debe ser aquella que facilite su funcioacuten como capacitador de buenas praacutecticas en seguri-dad no limitado al entorno TI sino tambieacuten a problemaacuteticas de seguridad de la informacioacuten y del negocio

Liacuteneas de reporte

bull 40 al CIObull 22 al CEObull 8 al CFObull 6 Consejo Administracioacuten



En 2018 en el informe de la consultoriacutea PWC ldquoGlobal State of Information Se-

curity Surveyrdquo httpswwwpwccomusenservicesconsultingcyberse-

curitylibraryinformation-security-surveyhtml se evidencia una tendencia a

separar el rol del CISO

Sin embargo el informe de Ponemon del antildeo 2017 ldquoThe Evolving Role of CI-

SOs and their importance to the businessrdquo (httpsinteractf5comrs653-

SMC-783imagesRPRT-SEC-1167223548-global-ciso-benchmarkUPDATED

pdf) indica que

De estos estudios cabe destacar que el CISO aumenta de forma progresiva su

interaccioacuten con el CEO muy especialmente en caso de incidentes y se tiende

a incrementar la segregacioacuten de funciones entre CISOCIOCTO

Debe ser una posicioacuten suficientemente independiente para mantener

una visioacuten objetiva del nivel de exposicioacuten a los riesgos

Debe tener cercaniacutea al primer nivel de la compantildeiacutea su funcioacuten es iden-

tificar y proteger riesgos asociados al uso de la informacioacuten pero para

ello precisa que la estrategia de la compantildeiacutea le priorice la criticidad de

los activos de informacioacuten y cuaacuteles son los impactos en la organizacioacuten

Al mismo tiempo se deben resaltar los siguientes epiacutegrafes

bull 40 CISOsCSOs reportan a CEObull 27 a directores del consejobull 24 al CIObull 17 al CSObull 15 al CPO (Chief Privacy Officer)

bull 60 de los CISOs tienen canal directo con CEO en caso de incidentes seriosbull 50 siguen reportando al CIObull 9 reportan al CTObull 9 reportan al CFObull 8 al Consejobull 6 al COObull 6 al Risk Manager Leader

Expectativas



Cuando nos referimos a complejidad de la empresa cabe distinguir entre Or-

ganizaciones complejas y simples

En este segmento de Organizaciones complejas normalmente hablamos de

corporaciones y en estos casos deben considerarse como miacutenimo las si-

guientes casuiacutesticas de acuerdo con el nivel de centralizacioacuten del grupo em-

presarial

Organizaciones complejas aquellas que tienen uno o varios de estos factores

La ubicacioacuten organizativa del CISO depende de los siguientes factores princi-

pales

Complejidad de la empresa

Requisitos de leyes y regulaciones

Sector de actividad

Factor humano del equipo de direccioacuten

Dispersioacuten geograacutefica

Dispersioacuten funcional

Dispersioacuten societaria

Alto volumen de transacciones de negocio

En empresas en las que la gestioacuten se encuentra maacutes centralizada y las

sociedades filiales se centran en cuestiones operativas el rol del CISO

corporativo tendraacute atribuciones muy superiores a un grupo tipo holding

y por tanto se focalizaraacute en mantener la visioacuten estrateacutegica emitir poliacuteti-

cas de grupo y supervisar el despliegue de la funcioacuten en los negocios

En grupos con liacuteneas de negocio diversificadas es factible que surja la

figura del BISO (Business Information Security Officer)

En corporaciones internacionales se generaraacute la obligatoriedad de cum-

plir las respectivas legislaciones locales En estos casos es factible que

surja la figura del LISO (Local Information Security Officer)

Realidades

IV8- Tipos de empresas



A efectos de este informe el resto de las empresas se consideran organiza-

ciones simples En estos casos salvo empresas que pertenezcan a sectores

de actividad muy regulados es praacutectica habitual que los roles se adapten a

las competencias y habilidades del equipo directivo existente pues suelen

concentrar responsabilidades con cierto grado de heterogeneidad

Los riesgos ciberneacuteticos evolucionan continuamente y aumentan su impacto

en los negocios es por ello que la correcta designacioacuten organizativa del CISO

sus responsabilidades e interrelaciones son una asignatura clave para la alta

direccioacuten de las empresas

Una mala ubicacioacuten organizativa del CISO afectaraacute negativamente a su capa-

cidad de identificar e influir para la mejora de capacidades de proteccioacuten de la

ciberseguridad y la privacidad de la informacioacuten

Independientemente de las figuras de CISO y CSO (Chief Security Officer) y si

deben estar juntos o no es importante destacar la importancia de tener una

estrategia de Seguridad Integral que logre una adecuada y coordinada cober-

tura de riesgos de los siguientes aacutembitos

IV9- Recomendaciones

Riesgos Tecnoloacutegicos Son los que debe cubrir el rol del CISO aquiacute plan-

teado (ciberataques virus ransomware etc)

Riesgos Fiacutesicos Comprende a sabotajes robos vandalismo movilizacio-

nes y en general a cualquier evento que pueda afectar a la seguridad

de las personas y de las infraestructuras normalmente estos aspectos

dependen del Director de Seguridad pero como estas amenazas pue-

den realizarse por medios tecnoloacutegicos podriacutean recaer en el futuro por

una misma persona o tratarse en un mismo departamento de ldquoSeguri-

dad Globalrdquo

Riesgos Operacionales Una estrategia de respuesta a eventos disrupti-

vos que puedan comprometer los objetivos de la compantildeiacutea (pej fallo en

un CPD o liacutenea de produccioacuten de una faacutebrica) aunque actualmente son

independientes del CISO en un futuro no muy lejano y por los mismos

motivos del caso anterior podriacutean englobarse en el departamento de la

ldquoSeguridad Globalrdquo



PERFIL DEL CISO VEn el capiacutetulo II apartado 1 describiendo las funciones del director de Segu-

ridad de la Informacioacuten se hace referencia los roles de CISO (figura el plano

de la autoridad formal) y CTSO (responsable tecnoloacutegico de la seguridad en

el terreno de la seguridad informaacutetica) Si bien en el aspecto directivo ambas

funciones que pueden ser o no desempentildeadas por la misma persona requie-

ren un perfil con similares cualidades esto no es extrapolable al plano opera-

tivo puesto que las especialidades son muy diferentes

En el aspecto de autoridad formal como ya se ha comentado en el punto pre-

cedente el CISO debe conocer el negocio (seniority) y los riesgos de seguridad

informaacutetica y ciberseguridad (estar al diacutea de amenazas y tendencias) porque

no podriacutea tomar decisiones con criterio de otro modo

El CISO debe conocer el marco regulatorio y legal aplicable a la actividad de la

empresa (veacutease capiacutetulo I apartado 2) y debe conocer metodologiacuteas de anaacuteli-

sis de riesgos (MAGERIT NIST CRAMMhellip) y estaacutendares para la seguridad de la

informacioacuten (ISO 27001) que deberaacute trasponer a las poliacuteticas de seguridad de

la informacioacuten de la empresa que son competencia suya Igualmente lo seraacute

la certificacioacuten si es requisito para la empresa y cualquier acreditacioacuten para

manejo de informacioacuten conforme a las normativas mencionadas (Veacutease I2)

El CISO deberiacutea disponer de la habilitacioacuten que exige la Ley 52014 de 4 de

abril de Seguridad Privada al Director de Seguridad ya que es posible su in-

tervencioacuten en incidentes con trascendencia legal por delegacioacuten de eacuteste Ob-

seacutervese que la funcioacuten de Director de Seguridad tambieacuten puede recaer en el

CISO en cuyo caso la habilitacioacuten es obligatoria)

Es esencial que el CISO disponga de una adecuada formacioacuten acadeacutemica

conocimiento de idiomas capacidad de interrelacioacuten con homoacutelogos de otras

empresas asistencia a foros y eventos de ciberseguridad etc Cualquier otra

formacioacuten o capacitacioacuten profesional complementaria es interesante para es-

tar actualizado incluso a nivel teacutecnico aunque si existe la figura del CTSO

deberiacutea ser asesorado por eacuteste y su equipo teacutecnico especializado

VI FORMACIOacuteN Y CAPACITACIOacuteN


PERFIL DEL CISO

Si CISO y CTSO convergen en la misma persona el espectro de conocimiento

del CISO es maacutes amplio

En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-

can al CISO) siendo el perfil mucho maacutes teacutecnico es fundamental tener las

siguientes capacitaciones

Formacioacuten acadeacutemica preferentemente ingenieros de telecomunica-

cioacuten o informaacuteticos

Formacioacuten en idiomas el ingleacutes es un elemento de trabajo casi impres-

cindible porque tanto publicaciones como foros eventos etc se desa-

rrollan con frecuencia en ingleacutes

Certificaciones profesionales (algunos ejemplos)

CCSP - Certified Cyber Security Professional Certificacioacuten otorgada

por ISMS Forum

CDPD ndash Certificacioacuten de Delegado de Proteccioacuten de Datos Certifi-

cacioacuten homologada otorgada por ISMS Forum bajo el Esquema de

Certificacioacuten de la Agencia Espantildeola de Proteccioacuten de Datos

CDPP - Certified Data Privacy Professional Certificacioacuten otorgada

por ISMS Forum

CISA - Certified Information Systems Auditor (CISA) Certificacioacuten

para auditores de ISACA (Information Systems Audit and Control As-

sociation - Asociacioacuten de Control y Auditoriacutea de Sistemas de Infor-

macioacuten)

CISM - Certified Information Security Manager Certificacioacuten para

gestores de seguridad de la informacioacuten de ISACA (Information Sys-

tems Audit and Control Association - Asociacioacuten de Control y Audito-

riacutea de Sistemas de Informacioacuten)

CISSP - Certified Information Systems Security Professional Certifi-

cacioacuten otorgada por (ISC)sup2 (International Information Systems Secu-

rity Certification Consortium Inc)


CRISC - Certified in Risk and Information Systems Control Certifica-

cioacuten para gestores de control de riesgos en sistemas de informacioacuten

de ISACA (Information Systems Audit and Control Association - Aso-

ciacioacuten de Control y Auditoriacutea de Sistemas de Informacioacuten)

SSCP - Systems Security Certified Practitioner Certificacioacuten en se-

guridad informaacutetica otorgada por (ISC)sup2 (International Information

Systems Security Certification Consortium Inc)

Existen otras muchas certificaciones complementarias que pueden

ser de intereacutes

CIA (Certified Internal Auditor) de IIA (Institute of Internal Auditors)

CISMP (Information Security Management Principles)

CGEIT (Certified in the Governance of Enterprise IT)

CompTIA+ (Advanced Security Practitioner)

Certified CISO (CCISO)

Certificaciones de CISCO

CCNA Security

CISCO Certified Network Professional Security

Certificaciones de SANS Institute

Certificaciones de Offensive Security

Certificaciones GIAC

Certificaciones CERT

Certified Computer Security Incident Handler Certification

VII SOFT SKILLS

El rol de CISO implica disponer de habilidades adicionales o paralelas cono-

cidas como ldquosoft skillsrdquo que le permitan desempentildear una funcioacuten compleja

muchas veces no bien definidas y que requiere de un gran equilibrio entre la

autoritas el reconocimiento del rol y su valor por parte de los demaacutes y la po-

testas la asignacioacuten y asuncioacuten de tareas y responsabilidades

Conjugar ambos a veces aparentemente contrapuestos requiere a este perfil

un compendio de conocimientos adicionales a veces incluso profundos de

otras disciplinas teacutecnicas o humanistas y al mismo tiempo de capacidades

personales y emocionales Este enjuague de habilidades adicionales confor-

maraacute la valiacutea del profesional y se debe prestar atencioacuten

PERFIL DEL CISO

VII1- Capacitacioacuten y habilidades directivas


Es evidente que cualquier perfil directivo necesita ante todo ldquoseniorityrdquo (expe-

riencia profesional) y autoridad El CISO es una figura directiva con un elevado

ndashy creciente- grado de responsabilidad y las consecuencias de sus decisio-

nes tendraacuten importante repercusioacuten en materia de presupuestos instalacio-

nes operatividad de recursos plazos cumplimiento contractual legislativo y

normativo y dependeraacuten en gran manera de eacutel los riesgos que la empresa

pueda atenuar o deba asumir Es fundamental por tanto contar con un pro-

fesional con soacutelidos conocimientos del negocio y capacidad para valorar los

dantildeos que la peacuterdida de confidencialidad integridad o disponibilidad de la

informacioacuten puedan causar a la empresa Deberaacute ser capaz de identificar yo

entender los riesgos y valorar posibles soluciones para contrarrestarlos y no

cabe la menor duda que en su caraacutecter no puede faltar coraje y templanza

no soacutelo para la toma de decisiones sino para ser capaz de afrontar y liderar

actuaciones en casos de crisis

Sin embargo no por el hecho de tener autoridad y coraje puede estar exento

de flexibilidad y de tener y saber aplicar el sentido comuacuten El negocio reta per-

manentemente las medidas de seguridad porque suelen obstaculizar las ini-

ciativas tecnoloacutegicas o lastrarlas con demoras y sobrecostes La seguridad no

puede conducir a la inmovilidad o suponer un freno especialmente en tiem-

pos en los que la transformacioacuten digital se perfila como una necesidad o in-

cluso como un elemento que condiciona la competitividad de la organizacioacuten

o hasta su supervivencia a medio o largo plazo

PERFIL DEL CISO

Hay otras muchas habilidades deseables para el CISO como son la capacidad

de organizacioacuten y priorizacioacuten la constancia y el compromiso con la empre-

sa la mentalidad de seguridad que cualquier miembro de este sector debe

llevar en el ADN y las dotes de liderazgo Respecto a este uacuteltimo aspecto el

CISO es responsable de un equipo humano y no pueden faltar las dotes para

dirigirlo con diligencia y crear compromiso e implicacioacuten en toda la organiza-

cioacuten Las habilidades interpersonales (inteligencia emocional) la formalidad y

el respeto son claves para un buen desempentildeo de su funcioacuten y la delegacioacuten

es un factor imprescindible El CISO no puede saberlo todo ser especialista

de todo El director de orquesta no tiene por queacute saber tocar cada uno de los

instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecucioacuten

de la partitura


PERFIL DEL CISO

Por uacuteltimo hay una caracteriacutestica que nunca debe faltar en cualquier perso-

na pero que es esencial en los miembros de seguridad independientemente

de su aacutembito de actuacioacuten la integridad y la eacutetica personal En seguridad no

puede existir la ldquosegunda oportunidadrdquo para las personas que defraudan la

confianza Se puede admitir una equivocacioacuten pero nunca una falta de ho-

nestidad o rectitud La confianza ndashdigamos- se tiene por defecto pero si se

pierde nunca se recupera

PERFIL DEL CISO


CONCLUSIONES VI

El rol del CISO como maacuteximo responsable de seguridad de la informacioacuten

es cada vez maacutes necesario en todas las entidades La Transformacioacuten Digital

y la proliferacioacuten de marcos normativos en materia de seguridad de la infor-

macioacuten y comunicaciones lo estaacuten poniendo de manifiesto

El rol del CISO es un rol Directivo especializado en seguridad de la informa-

cioacuten pero con las mismas atribuciones que el resto de directivos en sus aacutereas

respectivas Por tanto es el maacuteximo responsable de asesorar a la alta Direc-

cioacuten para orientar y dirigir la organizacioacuten en seguridad de la informacioacuten ase-

gurando que se alcancen los objetivos de negocio El rol del CISO debe repor-

tar a la Alta Direccioacuten utilizando un esquema de Gobierno de seguridad de la

informacioacuten acordado

El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-

te conocido o reconocido por la propia organizacioacuten Por ello en el pasado

se han tomado diversas decisiones de ubicacioacuten de la funcioacuten de CISO en

el organigrama que no explotan suficientemente la transversalidad del CISO

de sus conocimientos de su visioacuten orientacioacuten ni la capacidad de aportacioacuten

de valor a la organizacioacuten Una transversalidad de la funcioacuten derivada de la

transversalidad propia de la seguridad de la informacioacuten dado que las orga-

nizaciones son tan inseguras como la maacutes insegura de sus partes Por ello el

CISO debe conocer materias tan variadas como seguridad fiacutesica derecho de

las Tecnologiacuteas seguridad de las personas deteccioacuten y respuesta a inciden-

tes privacidad continuidad de negocio gestioacuten de terceras partes partiendo

de un conocimiento central y profundo de seguridad de la informacioacuten


CONCLUSIONES

El rol de CISO no habiacutea sido auacuten definido con precisioacuten puesto que ha sido

moldeado a lo largo del tiempo por las necesidades de las organizaciones y

la evolucioacuten de las amenazas frente a otros roles definidos por documentos

estaacutendares o regulaciones que establecen claramente sus funciones y atribu-

ciones

Incluso la escasa legislacioacuten existente en la que la figura del CISO estaacute direc-

tamente o indirectamente deberiacutea armonizarse y darle al CISO un enfoque

homogeacuteneo e integral no ya en su denominacioacuten sino lo que es mucho maacutes

importante en aspectos tales como en la definicioacuten de sus funciones respon-

sabilidades aportacioacuten y relevancia

Por ello este Libro Blanco recopila la experiencia y visioacuten de CISOs que ya lo

son en organizaciones punteras innovadoras y con necesidades identificadas

claras en seguridad de la informacioacuten Una experiencia que no puede ser ob-

viada para definir correctamente esta funcioacuten

Sirva este Libro Blanco para ayudar a la Administracioacuten a armonizar la funcioacuten

del CISO en su regulacioacuten y a las entidades a definir la funcioacuten dentro de su

organigrama

ABREVIATURAS Y ACROacuteNIMOS

ANEXO I - NORMATIVAS APLICABLES A LA FUNCIOacuteN DE CISO A FECHA DE 20 DE OCTUBRE DE 2018

Ley 52014 de 4 de abril de Seguridad Privada

httpswwwboeesbuscarpdf2014BOE-A-2014-3649-consolidado

pdf

Real Decreto 23641994 de 9 de diciembre por el que se aprueba el

Reglamento de Seguridad Privada


pdf

Nuevo borrador de reglamento disponible que incluye expresamente

referencias a la Seguridad Informaacutetica y Ciberseguridad

httpswwwpoliciaesactualidadpdftexto_borrador_seg_pripdf

Ley 112007 de 22 de junio de acceso electroacutenico de los ciudadanos a

los servicios puacuteblicos que establece el Esquema Nacional de Seguridad

httpswwwccncniesimagesstoriesnormaspdfley_11_2007_ac-

ceso_electronico_ciudadanospdf

Real Decreto 32010 de 8 de enero que aprueba el ENS

httpswwwccn-certcniespublicoensBOE-A-2010-1330pdf

Ley 402015 de 1 de octubre de Reacutegimen Juriacutedico del Sector Puacuteblico

Recoge el ENS en su artiacuteculo 156 apartado 2

httpboeesboedias20151002pdfsBOE-A-2015-10566pdf

Real Decreto 9512015 de 23 de octubre que modifica el ENS

httpswwwboeesdiario_boetxtphpid=BOE-A-2015-11881



Reglamento (UE) 2016679 (GDPR RGPD) Por su naturaleza directa-

mente aplicable a todos los paiacuteses de la UE exista o no ley nacional

httpseur-lexeuropaeulegal-contentESTXTPDFuri=CE-

LEX32016L0943ampfrom=en

Proyecto de Ley Orgaacutenica de Proteccioacuten de Datos de Caraacutecter Personal

httpwwwcongresoespublic_oficialesL12CONGBOCGABO-

CG-12-A-13-3PDF

Real Decreto-ley 52018 de 27 de julio de medidas urgentes para la

adaptacioacuten del Derecho espantildeol a la normativa de la Unioacuten Europea en

materia de proteccioacuten de datos

httpswwwboeesboedias20180730pdfsBOE-A-2018-10751

pdf

Directiva (EU) 2016943 (Trade Secrets)

h t tp eur- lex europa eu lega l-cont ent en T XTur i = CE-

LEX3A32016L0943

Anteproyecto de ley de secretos empresariales disponible editada el 8

de febrero de 2018

httpwwwmjusticiagobescsSatellitePortal1292428696156blo-

bheader=application2Fpdfampblobheadername1=Content-Dispositionamp-

blobheadervalue1=attachment3B+filename3DInformacion_publica_

APL_secretos_empresariales_TextoPDF

Directiva (EU) 20161148 (NIS) aplicable a entidades que proporcionan

servicios esenciales en concordancia con lo dispuesto en la ley 82011

de 28 de abril por la que se establecen medidas para la proteccioacuten de

las infraestructuras criacuteticas Esta Directiva traspone las disposiciones de

la 2008114CE esencial para la cooperacioacuten en materia de infraestruc-

turas criacuteticas en el seno de la Unioacuten Europea


LEX32016L1148ampfrom=ES


Secretos Comerciales

Directiva NIS

Real Decreto-ley 122018 de 7 de septiembre de seguridad de las redes

y sistemas de informacioacuten


Legislacioacuten aplicable a los diferentes sectores y subsectores de infraes-

tructuras criacuteticas

httpwwwcnpicesLegislacion_Aplicableindexhtml

Ley 132011 de 27 de mayo de regulacioacuten del Juego y RD de desarrollo

de la Ley del Juego (Real Decreto 16132011 de 14 de noviembre)

httpswwwboeesbuscaractphpid=BOE-A-2011-9280


Sector Juego

Estaacutendar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI-

DSS

httpsespcisecuritystandardsorgdocument_librarycategory=p-

cidssampdocument=pci_dss

PSD 2 Servicios de pago Directiva (EU) 20152366 del Parlamento Euro-

peo y del Consejo de 25 de noviembre de 2015 En vigor desde el 12 de

enero de 2016


LEX32015L2366ampfrom=EN

Directiva sobre servicios de pago en el mercado interior y por la que se

modifican las Directivas 200265CE 2009110CE y 201336UE y el

Reglamento (UE) n o 10932010 y se deroga la Directiva 200764CE

Ley Sarbanes-Oxley (SOX) Traduccioacuten al espantildeol de US Congress Sar-

banes-Oxley Act of 2002 US InterAmerican Community Affairs

httpinteramerican-usacomarticulosLeyesLey-Sar-Oxleyhtm

Basilea III marco regulador internacional para los bancos

httpswwwbisorgpublbcbs189_espdf


Oacuterdenes ministeriales de afectacioacuten (Orden EHA25282011 de 20 de

septiembre por la que se establecen los requisitos y el procedimiento de

designacioacuten de entidades independientes que realicen las certificacio-

nes de evaluacioacuten del software de juegos y de seguridad de operadores

de juegos)

httpswwwboeesbuscardocphpid=BOE-A-2011-15092

Resoluciones Teacutecnicas (Resolucioacuten de 6 de octubre de 2014 de la Direc-

cioacuten General de Ordenacioacuten del Juego por la que se aprueba la disposi-

cioacuten por la que se desarrollan las especificaciones teacutecnicas de juego tra-

zabilidad y seguridad que deben cumplir los sistemas teacutecnicos de juego

de caraacutecter no reservado objeto de licencias otorgadas al amparo de la

Ley 132011 de 27 de mayo de regulacioacuten del juego)


Ley 91968 de 5 de abril sobre secretos oficiales


pdf

Orden Ministerial 762006 de 19 de mayo ldquoSeguridad de la Informacioacuten

en poder de las Empresas (SEGINFOEMP)rdquo

httpwwwbelteslegislacionvigenteSeg_infSeg_infesta-

tal290506_OM_Seg_Informacionpdf

httpwwwdefensagobesportalserviciosserviciosindustriadefen-

saseginfoemp

Instruccioacuten 522013 de 17 de junio del Secretario de Estado de Defensa

por la que se aprueban las Normas para la Seguridad de la Informacioacuten

del Ministerio de Defensa en poder de las empresas

httpwwwdefensagobesGaleriasportalserviciosseginfoempIns-

truccion_52_2013pdf

Sector Defensa

Leyes y normativas nacionales

De especial relevancia

Documento C-M(2002)49

httpswwwcniescomunrecursosdescargasDOCUMENTO_21_-_

Security_within_NATO_-_C-M49-COR1-12pdf

y directivas asociadas

AC35-D2000 Directive on Personnel Security

httpwwwdksibgNRrdonlyres852F2C9E-7CC8-441B-A63A-

4A456D42E59D0Personnel_SecurityAC35D2000REV7pdf

AC35-D2001 Directive on Physical Security

h t t p w w w d k s i b g N R r d o n l y r e s

9D0EE24C-86D9-4C90-8084-70F5BC14B03B0Physical_Securit-

yAC35D2001REV2pdf

AC35-D2002 Directive on Security of Information

httpwwwdksibgNRrdonlyresDA629957-ECB2-40D6-9094-

0F20396E57800Information_SecurityAC35D2002REV4pdf

Normativa de Seguridad OTAN

Resolucioacuten 3201454613 de 23 de septiembre del Director General de

Armamento y Material por la que se aprueban los procedimientos para

la implementacioacuten de la Instruccioacuten 522013 de 17 de junio del Secre-

tario de Estado de Defensa por la que se aprueban las normas para la

seguridad de la informacioacuten del Ministerio de Defensa en poder de las

empresas

httpwwwdefensagobesGaleriasportalserviciosseginfoempRe-

solucion_DIGAM_Procedimientos_de_SEGINFOEMPpdf

Normas de la Autoridad Nacional para la proteccioacuten de la informacioacuten

clasificada


Normas_de_la_Autoridadpdf

Normativa y guiacuteas CCN-STIC del Centro Criptoloacutegico Nacional

httpswwwccn-certcniesguiasguias-series-ccn-stichtml

Normativa de Seguridad (no todas son de dominio puacuteblico)







yAC35D2001REV2pdf




AC35-D2003 Directive on Industrial Security

httpwwwdksibgNRrdonlyres47AC8675-F285-4812-B6FC-

761D1B0D97CB0AC35D2003REV5pdf

AC35-D2004 Primary Directive on INFOSEC

httpwwwdksibgNRrdonlyres6DC49C44-5C52-47A2-8773-

6BF11C59E53C0Primary_CIS_SecurityAC35D2004REV3pdf

AC35-D2005 INFOSEC Management Directive for CIS

httpswwwnbuczdownloadpravni-predpisy---natoAC_35-

D_2005-REV3pdf

httpwwwoccarintoccar-rules

ESA Security Regulations

httpsdownloadesaintdocsesoesa-reg-004epdf

httpswwwgovukguidanceletter-of-intent-restructuring-the-euro-

pean-defence-industry

httpswwwgovukgovernmentpublicationsletter-of-intent-sub-commi-

ttee-3

Normativa OCCAR

Normativa ESA

Normativa LoIFA EDIR (Letter of Intent Framework Agreement for European Defence Industrial Restructuration)

Normativa US ITAR (Part 130)

httpswwwpmddtcstategovregulations_lawsdocumentsofficial_

itar2016ITAR_Part_130pdf

Normativa EAR

US Export Administration Regulation (EAR)

httpswwwbisdocgovindexphpregulationsexport-administra-

tion-regulations-ear

Normativa de doble uso de la Unioacuten Europea aplicable para todos los

paiacuteses miembros

h t t p e u r - l e x e u r o p a e u l e g a l - c o n t e n t E N T X T q i -

d=1527179601283ampuri=CELEX02009R0428-20171216

Real Decreto 6792014 de 1 de agosto por el que se aprueba el Regla-

mento de control del comercio exterior de material de defensa de otro

material y de productos y tecnologiacuteas de doble uso


pdf

Ordenanza Alemana de comercio exterior y pagos (Auszligenwirtschaftsve-

rordnung

httpwwwgesetze-im-internetdeenglisch_awvindexhtml)

aplicable para armas municioacuten y artiacuteculos de defensa asiacute como bienes

de doble uso bajo control nacional

Acto de control de armas de guerra (Kriegswaffenkontrollgesetz KrWa-

ffKontrG)

httpsgermanlawarchiveiuscomporgp=741

Veacutease tambieacuten

httpwwwbafadeENForeign_TradeExport_Controlexport_con-

trol_nodehtml

Export Control

Estados Unidos de Ameacuterica

Europa

Espantildea

Alemania

Control de bienes de doble uso

httpwwwdiplomatiegouvfrfrpolitique-etrangere-de-la-france

desarmement-et-non-proliferationla-france-et-le-controle-des-ex-

portations-sensiblesarticlecontrole-des-biens-et-technologies

Control de material beacutelico



portations-sensiblesarticlecontrole-des-exportations-de-mate-

riels-de-guerre

Sistema Online de licencias (EGIDE)

httpwwwentreprisesgouvfrbiens-double-usageprocedures-et-li-

cences-et-circuit

Export Control Act 2002 Export Control Order 2008 y correccioacuten 2010

https wwwlegis lat ion govukukpga200228pdfsukp-

ga_20020028_enpdf

httpwwwlegislationgovukuksi20083231pdfsuksi_20083231_

enpdf

httpwwwlegislationgovukuksi20083231pdfsuksics_20083231_

enpdf

Francia

Reino Unido

El Libro Blanco del CISO




Colaboradores











ROBERTO BARATTA

Revisores


GUSTAVO LOZANO

Editor





89

19212627

28

28

353637383941424445

464849515354

















Producto o Servicio














8
































Corporativa









aplicacioacuten



libro blanco











































































































comunicacioacuten





ma seccioacuten)

































poblacioacuten





suplente














disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido




Colaboradores











ROBERTO BARATTA

Revisores


GUSTAVO LOZANO

Editor





89

19212627

28

28

353637383941424445

464849515354

















Producto o Servicio














8
































Corporativa









aplicacioacuten



libro blanco











































































































comunicacioacuten





ma seccioacuten)

































poblacioacuten





suplente














disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido


89

19212627

28

28

353637383941424445

464849515354

















Producto o Servicio














8
































Corporativa









aplicacioacuten



libro blanco











































































































comunicacioacuten





ma seccioacuten)

































poblacioacuten





suplente














disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido

















Producto o Servicio














8
































Corporativa









aplicacioacuten



libro blanco











































































































comunicacioacuten





ma seccioacuten)

































poblacioacuten





suplente














disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido
































Corporativa









aplicacioacuten



libro blanco











































































































comunicacioacuten





ma seccioacuten)

































poblacioacuten





suplente














disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido








aplicacioacuten



libro blanco











































































































comunicacioacuten





ma seccioacuten)

































poblacioacuten





suplente














disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido






















































































comunicacioacuten





ma seccioacuten)

































poblacioacuten





suplente














disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido



























poblacioacuten





suplente














disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido












disposiciones














de los bancos







leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido



leyes y normativas







nes penales



















Sector Juego

Sector Defensa





LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido




LE-RPAS y Tiger)









competitiva







canzarlas


Export Control





























II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido





















II




























































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido











































IDENTIFICAR
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido
















PROTEGER



DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido


DETECTAR









Threathunting

Defensa activa

























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido
























cioacuten





















en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido






en entornos no TI

























































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido


































































Sociedad











en Espantildea








explicar























menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido

















menazas























y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido





y medios incluyen
















nizaciones




















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido
















organizacioacuten


DEPENDENCYHigh

Top-Down

Need-To-Know

Low

Distributed

Good-To-Know

ABSOLUTEMONARCHY




















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido
















Gobierno

Gestioacuten


Operacionesde TI

Manager

CISO


























seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido





















seguridad



CEO

CxO

CIO











Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido










Ventajas

Inconvenientes




CEO

CxO

CIO







informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido






informacioacuten







Ventajas

Inconvenientes



CEO

CxO COOCRO

COOCROCIO


CISO











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido











dad con el CIO



Ventajas

Inconvenientes



CEO

CxO COOCRO

CIO


CISO

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido

Ventajas

Inconvenientes









externa









CISO











































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido








































































pdf) indica que













Expectativas








presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido







presarial



pales



Sector de actividad
















Realidades





























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido



























dad Globalrdquo








































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido

































PERFIL DEL CISO













por ISMS Forum





por ISMS Forum




macioacuten)

















ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido










ser de intereacutes







CCNA Security







VII SOFT SKILLS











PERFIL DEL CISO

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido

























PERFIL DEL CISO












de la partitura


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido


PERFIL DEL CISO








PERFIL DEL CISO


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido


CONCLUSIONES VI

























CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido


CONCLUSIONES





ciones












organigrama





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido





pdf




pdf























CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido







CG-12-A-13-3PDF





pdf



LEX3A32016L0943


de febrero de 2018















Directiva NIS











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido











Sector Juego


DSS





enero de 2016
















de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido





de juegos)











pdf






saseginfoemp





truccion_52_2013pdf

Sector Defensa













yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido












yAC35D2001REV2pdf










empresas




clasificada












yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido







yAC35D2001REV2pdf












D_2005-REV3pdf







ttee-3

Normativa OCCAR

Normativa ESA





Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido




Normativa EAR







d=1527179601283ampuri=CELEX02009R0428-20171216





pdf


rordnung





ffKontrG)




trol_nodehtml

Export Control


Europa

Espantildea

Alemania









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido









riels-de-guerre



cences-et-circuit



ga_20020028_enpdf


enpdf


enpdf

Francia

Reino Unido

El Libro Blanco del CISO - ismsforum.es · nizativo de la empresa, naturaleza y sector de...

Documents

Transcript of El Libro Blanco del CISO - ismsforum.es · nizativo de la empresa, naturaleza y sector de...