Garantizar la seguridad de los sistemas de información exige el cumplimiento estricto de las normas y limitaciones aplicables a cada sector de actividad y organización. Los responsables de la seguridad de los sistemas de información (CISO) y los delegados de protección de datos (DPO) aportan cada uno su experiencia a este objetivo común.
Pero a veces puede haber una delgada línea entre responsabilidades y misiones. ¿Quién es responsable de qué? ¿Y cómo podemos colaborar eficazmente para garantizar que la organización siga siendo operativa y segura?
El cumplimiento de las normas informáticas, una cuestión de seguridad estratégica
En un contexto de ciberataques cada vez más frecuentes y un clima geopolítico cada vez más amenazador, las empresas están asumiendo, a su pesar, un papel protagonista en los problemas de seguridad y financieros a los que se enfrentan. Para garantizar la protección eficaz de sus sistemas de información y sus datos, las empresas deben adoptar una serie de medidas y cumplir los requisitos y normas comúnmente denominados IT compliance.
Este cumplimiento de las normas de seguridad de los sistemas de información (ISS) garantiza que las infraestructuras informáticas están en condiciones óptimas de seguridad y cumplen la política de seguridad de la empresa.
Numerosos textos, obligaciones y recomendaciones deben ser aplicados o seguidos por las organizaciones. En los últimos años se han elaborado innumerables reglamentos y normas para garantizar el cumplimiento de la seguridad de la SI.
Al mismo tiempo, en 2018, la aplicación del Reglamento general de protección de datos (RGPD) define nuevos métodos (seguridad por diseño, privacidad desde el diseño) que deben aplicarse como parte del cumplimiento del tratamiento de datos.Como resultado, está surgiendo una nueva profesión dentro de las empresas públicas y privadas para garantizar que esto se aplica correctamente: el responsable de la protección de datos, o DPO.
Garantizar el cumplimiento: un reto común para los CISO y los DPO
Entre el cumplimiento del RGPD, la seguridad operativa y la gestión de riesgos, es difícil tener claro quién está a cargo del cumplimiento dentro de una organización. Dominique Soulier, miembro del grupo de trabajo DPO/RSSI de CLUSIF cuando se introdujo el RGPD en 2018, presentó este consenso a modo de conclusión: “Hay muchos puntos en común y sinergias entre los CISO y los DPO. Tanto en términos de sus habilidades, técnicas o legales, por ejemplo, como en términos de sus habilidades interpersonales (divulgación, comunicación, buenas habilidades interpersonales) .”
El responsable de seguridad de los sistemas de información define la política de seguridad de los sistemas de información de la empresa (PSSI) y es responsable de garantizar su correcta aplicaciónEsto implica evaluar los riesgos para los SI de la organización y aplicar soluciones que garanticen la disponibilidad, seguridad e integridad del sistema de información y de los datos que contiene.
Una de las principales tareas y obligaciones de un CISO es conocer perfectamente la normativa y las obligaciones de cumplimiento de su empresa. Para lograrlo, se establece una vigilancia reglamentaria y normativa con su equipo de expertos en seguridad. Ellos proponen la hoja de ruta de los cambios necesarios para garantizar el cumplimiento del sistema de información.
La larga lista de responsabilidades de un CISO incluye:
- seguimiento de la nueva normativa;
- definición de los objetivos y procedimientos de seguridad;
- análisis de riesgos y amenazas;
- sensibilizar y formar a los empleados sobre los retos de ciberseguridad;
- gestión de las herramientas de seguridad;
- el plan de acción para el cumplimiento;
- establecimiento de un Plan de Recuperación de Desastres;
- corrección de las no conformidades…
DPO: garante de la protección de datos de la empresa
El responsable de la protección de datos (DPO) es definido por la Comisión Nacional de Informática y Libertades (CNIL), autoridad de control de los datos personales, como “el director de orquesta para el cumplimiento de la protección de datos dentro de la organización. Apoya el cumplimiento del RGPD, responde a las solicitudes de las personas para ejercer sus derechos y reduce el riesgo de litigios .”
Cuando se creó en 2018, 21,000 DPO designados estaban registrados en la CNIL. Para 2022, esta cifra se ha disparado un 38%, hasta casi 29,000 DPO.
He aquí algunos ejemplos de tareas que debe realizar el DPO:
- inteligencia normativa y competitiva sobre cuestiones relacionadas con la gestión de datos personales;
- asignación del tratamiento de datos y creación de un registro de tratamiento de datos;
- protección de datos sensibles;
- autoevaluación del cumplimiento del RGPD por parte de la organización;
- definición de la política de confidencialidad y cumplimiento de la Ley de Protección de Datos de 1978;
- sensibilizar a los empleados y directivos sobre la protección de datos personales;
- cooperación con la CNIL…
La última palabra
Según la última encuesta anual del Ministerio de Trabajo francéslos DPO, cuyos perfiles son cada vez más diversos, se sienten mejor integrados en las organizaciones. Está claro que el equilibrio entre las funciones de CISO y DPO se entiende mejor dentro de las organizaciones. Estas dos profesiones, muy complementarias, contribuyen a alcanzar los objetivos de conformidad de la empresa, tanto desde el punto de vista de los sistemas de información como de los datos.
Matthieu Grall, representante de la CNIL en 2018, declaró que: “El CISO y el DPO deben trabajar juntos e involucrar a las líneas de negocio de la empresa, que son las mejor situadas para describir las operaciones de procesamiento .” Cuatro años después de esta declaración, y con la evolución de la ciberamenaza, los retos comunes a los que se enfrentan los CISO y los DPO siguen creciendo.