Table of Contents Table of Contents
Previous Page  37 / 84 Next Page
Information
Show Menu
Previous Page 37 / 84 Next Page
Page Background

de acceso a los datos y recursos y

no debe recibir ninguna instrucción

o ser penalizado por llevar a cabo

sus tareas.

¿Puede cubrirse la figura del DPO

con figuras existentes como el

Responsable de Seguridad?

Podría pensarse que, dado que el

DPO es una figura que se ha crea-

do para satisfacer las necesidades

de la regulación, no es exigible que

sea la persona que comprenda y

combata los vectores de ataque a

la información, pero no es así. Es

exigible que defina los procesos

para la protección de los datos per-

sonales, apoyándose en el CISO

(

Chief Information Security Officer

)

u otros profesionales de seguridad

de la información. La necesidad de

que un DPO tenga un conocimiento

sólido de seguridad y privacidad de

los datos no solo procede de los

requisitos del Reglamento, sino de

la creciente urgencia de las organi-

zaciones por estar protegidas frente

a las ciberamenazas en continua

evolución. La complejidad de los

ataques no solo aumenta, sino que

se expande a un ritmo exponencial.

Los riesgos generados demandan

una atención constante por parte

de las organizaciones y también un

buen conocimiento de las nuevas

tecnologías.

En este sentido, el DPO tendrá que

lidiar con una serie de problemáticas

de seguridad de la información que

están en auge o que afectarán con

alta probabilidad en un futuro, como

son:

ó

Las soluciones en la nube, que

si bien están siendo usadas en

seguridad como plan de recu-

peración de desastres y permi-

ten solucionar problemas como

la escalabilidad y el teletrabajo,

están provocando nuevos proble-

mas a la hora de gestionar datos

confidenciales.

ó

Los ataques

ransomware

, usan-

do nuevos vectores de ataque y

explotando tanto vulnerabilidades

conocidas, fácilmente soluciona-

bles mediante procesos maduros

de seguridad, como vulnerabilida-

des de día cero.

ó

Políticas BYOD (

Bring Your Own

Device

) que expanden la tradicio-

nal frontera perimetral de la orga-

nización, exponiendo fuera de la

misma información sensible sin

que pueda ser controlada.

ó

La utilización de nuevos dispo-

sitivos conectados, plataformas,

tiendas

online

o redes sociales

que generan nuevos volúmenes

de datos.

Hay una relación entre privacidad

y seguridad que justifica la creación

de un entorno seguro para el ciclo

de vida de la información. No puede

haber privacidad sin seguridad, pero

la seguridad en sí misma no garanti-

za la privacidad.

El principio de protección de datos

desde el diseño y por defecto requie-

re que la organización ponga los

datos personales en el centro de

su arquitectura empresarial, desde

sus políticas de compras y adquisi-

ciones, BYOD, de formación, para

terceros, de recursos humanos y de

todos los controles de seguridad de

la información que se definan. Este

cambio, expresado en tres palabras,

privacy by design

, es probablemen-

te el cambio fundamental, ya que

muchas organizaciones han venido

ignorando de manera continuada la

privacidad de los datos.

¿De qué depende que el DPO tenga

éxito?

El DPO solo puede tener éxito si

tiene la autoridad necesaria para

implementar políticas y embeber la

privacidad en los propios procesos

operacionales. Dado que los datos

personales se encuentran distribui-

dos por la organización, la tarea a

la que se enfrenta es la de construir

especial

red seguridad segundo trimestre 2017 37

puentes entre los diferentes silos.

Si existen las figuras de CIO (

Chief

Information Officer

), CTO (

Chief

Technology Officer

), CISO, CDO

(

Chief Data Officer

), el DPO deberá

tejer los hilos necesarios entre ellas.

Por otra parte, el DPO debe ser

visto más como un educador que

como una figura de puro control en

lo que respecta al cumplimiento del

Reglamento, y tiene que ser el res-

ponsable de la comunicación de las

fugas de datos personales, aunque

no se especifica en la regulación.

Claramente por este motivo debe ser

un hábil comunicador.

Por último, lo que un DPO tiene que

hacer, aunque la tarea de adecuación

al RGPD ya pueda parecer faraónica,

es prepararse para emprender a tiem-

po la adecuación a nuevas regulacio-

nes en camino, como

e-privacy

.

Habiendo pasado ya el ecuador, lo

cierto es que, a falta de un año de los

dos concedidos para la adecuación al

Reglamento, muchas organizaciones

apenas han comenzado a caminar.

seguridad integral

monográfico

opinión

El DPO solo puede tener éxito si

tiene la autoridad necesaria para

implementar políticas y embeber la

privacidad en los propios procesos

operacionales.

1 32 33 34 35 36 37 38 39 40 41 42 43 84  FlippingBook