redseguridad 077

seguridad integral

monográfico

opinión

puentes entre los diferentes silos. Si existen las figuras de CIO ( Chief Information Officer ), CTO ( Chief Technology Officer ), CISO, CDO ( Chief Data Officer ), el DPO deberá tejer los hilos necesarios entre ellas. Por otra parte, el DPO debe ser visto más como un educador que como una figura de puro control en lo que respecta al cumplimiento del Reglamento, y tiene que ser el res- ponsable de la comunicación de las fugas de datos personales, aunque no se especifica en la regulación. Claramente por este motivo debe ser un hábil comunicador. Por último, lo que un DPO tiene que hacer, aunque la tarea de adecuación al RGPD ya pueda parecer faraónica, es prepararse para emprender a tiem- po la adecuación a nuevas regulacio- nes en camino, como e-privacy . Habiendo pasado ya el ecuador, lo cierto es que, a falta de un año de los dos concedidos para la adecuación al Reglamento, muchas organizaciones apenas han comenzado a caminar.

de acceso a los datos y recursos y no debe recibir ninguna instrucción o ser penalizado por llevar a cabo sus tareas. ¿Puede cubrirse la figura del DPO con figuras existentes como el Responsable de Seguridad? Podría pensarse que, dado que el DPO es una figura que se ha crea- do para satisfacer las necesidades de la regulación, no es exigible que sea la persona que comprenda y combata los vectores de ataque a la información, pero no es así. Es exigible que defina los procesos para la protección de los datos per- sonales, apoyándose en el CISO ( Chief Information Security Officer ) u otros profesionales de seguridad de la información. La necesidad de que un DPO tenga un conocimiento sólido de seguridad y privacidad de los datos no solo procede de los requisitos del Reglamento, sino de la creciente urgencia de las organi- zaciones por estar protegidas frente a las ciberamenazas en continua evolución. La complejidad de los ataques no solo aumenta, sino que se expande a un ritmo exponencial. Los riesgos generados demandan una atención constante por parte de las organizaciones y también un buen conocimiento de las nuevas tecnologías. En este sentido, el DPO tendrá que lidiar con una serie de problemáticas de seguridad de la información que están en auge o que afectarán con alta probabilidad en un futuro, como son: ó Las soluciones en la nube, que si bien están siendo usadas en seguridad como plan de recu- peración de desastres y permi- ten solucionar problemas como la escalabilidad y el teletrabajo, están provocando nuevos proble- mas a la hora de gestionar datos confidenciales. ó Los ataques ransomware , usan- do nuevos vectores de ataque y explotando tanto vulnerabilidades conocidas, fácilmente soluciona- bles mediante procesos maduros

de seguridad, como vulnerabilida- des de día cero. ó Políticas BYOD ( Bring Your Own Device ) que expanden la tradicio- nal frontera perimetral de la orga- nización, exponiendo fuera de la misma información sensible sin que pueda ser controlada. ó La utilización de nuevos dispo- sitivos conectados, plataformas, tiendas online o redes sociales que generan nuevos volúmenes de datos. Hay una relación entre privacidad y seguridad que justifica la creación de un entorno seguro para el ciclo de vida de la información. No puede haber privacidad sin seguridad, pero la seguridad en sí misma no garanti- za la privacidad. El principio de protección de datos desde el diseño y por defecto requie- re que la organización ponga los datos personales en el centro de su arquitectura empresarial, desde sus políticas de compras y adquisi- ciones, BYOD, de formación, para terceros, de recursos humanos y de todos los controles de seguridad de la información que se definan. Este cambio, expresado en tres palabras, privacy by design , es probablemen- te el cambio fundamental, ya que muchas organizaciones han venido ignorando de manera continuada la privacidad de los datos. El DPO solo puede tener éxito si tiene la autoridad necesaria para implementar políticas y embeber la privacidad en los propios procesos operacionales. Dado que los datos personales se encuentran distribui- dos por la organización, la tarea a la que se enfrenta es la de construir ¿De qué depende que el DPO tenga éxito?

El DPO solo puede tener éxito si tiene la autoridad necesaria para implementar políticas y embeber la privacidad en los propios procesos operacionales.

especial

red seguridad segundo trimestre 2017 37