CISO da erakunde bateko informazioaren segurtasuneko zuzendaria. Zibersegurtasuna zaintzea eta informazio korporatiboa behar bezala babestuta dagoela bermatzea da bere egitekoa, negozio-helburuak babestuz.
Duela urte batzuk profesional tekniko soila izateari utzi zion CISOk, eta enpresen negozio-prozesu eta -estrategietan sartu da, haien barruan funtsezko zeregina izateko. Informazioaren teknologien aurrerapenak eta enpresetako prozesuen digitalizazioak rol hori ahalbidetu dute, eta gaur egun erakunde askotan segurtasun-arduradun bat dago betearazpen-mailan rol hori betetzen.
CISOren rolak komunikazio erreal eta eraginkorra izan behar du goi-zuzendaritzarekin, eta funtzioen garapena erraztu behar du, segurtasunarekin zerikusia duten gai guztietan behar bezala parte hartuz. 2021eko urtarriletik aurrera, informazio-sare eta -sistemen segurtasunari buruzko 43/2021 Errege Dekretua (NIS Erregelamendua) argitaratu zenetik, arau horrek eragiten dien enpresek segurtasun-arduradun bat izan behar dute, eta legezko erantzukizuna izan behar dute dagokion agintaritza arautzailearen aurrean.
Helburuak lortzeko, CISOren ardura da mehatxu berriak aurreikustea eta hainbat sailetako profesionalekin batera elkarlanean aritzea, balizko eraso baten aurrean, segurtasun-sistemek funtzionatzen dutela bermatzeko eta arriskuak murrizteko.
Funtzio ohikoenak hauek dira, besteak beste:
- Datuen pribatutasuna bermatzea informazioaren segurtasun-politikak sortuz eta ezarriz eta betetzen direla gainbegiratuz
- Informaziorako sarbidearen eta segurtasun-arkitekturaren kontrolaren administrazioa gainbegiratzea. Merkataritza-jarduerak egiteaz, helburuak identifikatzeaz, segurtasun-produktuak eta -hornitzaileak aukeratzeaz, eta enpresaren zibersegurtasunean eragina duten gaiei buruzko informazioa emateaz eta zuzendaritzara helarazteaz arduratzen da.
- Langileak prestatzeko eta kontzientziatzeko ekintzak ezartzea, eta enpresan segurtasunaren inguruko kultura sortzea.
Eginkizun horiek bete ahal izateko, kargu hori duen pertsonak gai izan behar du langileak gidatzeko (nahiz eta ez den beti izaten), zibersegurtasunaren inguruko ezagutza sendoa izateko eta, aldi berean, langile teknikoei eta ez-teknikoei segurtasun-kontzeptu konplexuak ulertarazteko. Era berean, ohikoa da arriskuen kudeaketan eta auditorian espezializatuta egotea. Esperientzia izan behar dute, halaber, sarbidea kontrolatzeko metodologian, kriptografian, telekomunikazioetan eta software-garapeneko segurtasunean, besteak beste.
