redseguridad 077

seguridad integral

monográfico

opinión

Un nuevo marco legislativo para el sector TIC

Vidal Valdunciel Key Account Manager de Panda Security

S e da la circunstancia de que, casi en el mismo periodo de tiempo, tiene que llevarse a cabo por parte de los países miembros de la Unión Europea la puesta en marcha de dos nor- mas europeas distintas y que ten- drán fuerte impacto en el uso de las Tecnologías de la Información y las Comunicaciones (TIC) por parte de administraciones públicas y empresas. Por un lado está el Reglamento UE 2016/679, conocido como Reglamento General de Protección de Datos de la Unión Europea (RGPD) –que deroga la Directiva 95/46/CE–, cuyo objetivo es establecer “las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos”. Por otro, la Directiva Europea 2016/1148, o Directiva NIS, para la seguridad de redes y sistemas de infor- mación, cuyo objetivo es “establecer las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión a fin de mejorar el funciona- miento del mercado interior”. La implantación de las medidas para cumplir ambas normativas pone en evidencia la dependencia de las TIC

en cualquier ámbito de actividad de las personas, administraciones públicas y empresas, y más en un entorno trans- fronterizo y global. Además, aparecen en escena potenciales problemas de seguridad asociados a la utilización de las TIC. Pero también, denotan la voluntad de conseguir cierta armoniza- ción de estrategias, adopción de medi- das y cooperación entre los países de la Unión Europea. Cómo afecta El factor común de las diferentes nor- mas europeas es obligar a los distin- tos sectores de actividad afectados a dotarse de las medidas de seguridad idóneas para garantizar la correcta protección y gestión de los datos de su negocio, la continuidad de su actividad y la prestación de los servi- cios; si bien, se incorporan medidas coercitivas en caso de incumplimiento de la normativa (multas y sanciones), debiendo ser éstas la última medida extrema. Las empresas y organiza- ciones debieran considerarlo como una oportunidad para mejorar sus sistemas de información y adoptar las medidas técnicas y organizati- vas necesarias; pocas ocasiones hay como ésta para justificar y conse-

guir presupuestos adicionales en las organizaciones. Si tenemos en cuenta el objetivo y contenido de cada una de las normas, la consideración de las TIC y el impacto en las empresas es diferente. En el caso del RGPD, su objetivo es la protección de los datos personales en el contexto de su utilización en los procesos de negocio de empresas y organizaciones, sea por medios físicos o automatizados. El papel que juegan las TIC como herramienta de soporte para la organización y para los pro- cesos que garanticen el cumplimiento de las políticas de protección de los datos personales en su actividad de negocio. Reconoce la realidad de la masificación del tratamiento y comu- nicación automatizado de los datos y recomienda tecnologías específicas para su protección, como es el cifrado, la seudonimización, entre otras, pero el mayor impacto en las empresas será la clasificación de los datos, definición de políticas a aplicar, responsabilidades y procesos de soporte a la política de protección del dato. Por su parte, si hablamos de la Directiva NIS, las TIC son un objetivo en sí mismo dentro de su desarrollo

especial

38 red seguridad segundo trimestre 2017