DPO y CISO: ¿qué sinergias?
Cultura tecnológica
Dos profesiones que no pueden existir la una sin la otra.
En los últimos años han surgido dos profesiones clave en la administración de las organizaciones: el Responsable de Seguridad de la Información (CISO) -bajo la creciente presión de los ciberataques- y el Delegado de Protección de Datos (DPD, y en inglés DPO, Data Protection Officer), cuya obligación legal es proteger los datos personales. Dos responsabilidades diferentes, pero complementarias y estrechamente entrelazadas.
Las tareas del DPO y del CISO
La protección de datos es una misión reglamentaria del DPO. Esta última entró en vigor en 2018 con la introducción del Reglamento General de Protección de Datos Personales (RGPD).
La designación es muy recomendable, pero no es sistemática ni obligatoria (salvo algunas excepciones): a veces, en el caso de una empresa muy pequeña, es el gerente quien asume esta función. En otras ocasiones, se subcontrata.
Un papel conocido por todos
Esta función es pública: todos los usuarios deben poder saber a quién dirigirse para ejercer sus derechos en relación con sus datos personales.
La función del CISO no está regulada, pero es esencial: como sabemos, la cuestión no es si los sistemas informáticos de una empresa serán pirateados, sino cuándo.
Por lo tanto, para el CISO es crucial proteger el sistema y los datos, incluidos los datos personales: apellidos, nombre, contactos, seguimiento de los intercambios con partes externas (clientes, proveedores, socios) e internas (empleados, directivos de la empresa, etc.)
La protección de datos globales y la de datos personales están, por tanto, estrechamente interrelacionadas. El ámbito de acción del CISO es más amplio que el del DPO, pero este último debe cumplir obligaciones normativas más exhaustivas, fuertemente reguladas por la ley.
Cifras clave
El 94% de los DPO afirma que trabaja con el CISO o el equipo técnico, y el 75% de los CISO afirma que trabaja con los DPO de su empresa.
DPO y CISO: seis áreas de colaboración
1. Establecer y mantener al día el registro de tratamientos SSI
La noción de cartografiar sistemas y tratamientos (es decir, todos los usos a los que se destinan los datos y todas las personas que tienen que manejarlos) es la base de una política de seguridad eficaz. Debe mantenerse actualizada, al igual que la lista de licencias de software, por ejemplo.
Tarea principal del CISO, también la utiliza el DPO para elaborar su registro de operaciones de tratamiento. Debe comprobar su licitud: el tratamiento de datos debe estar justificado por un uso profesional normal, ser limitado en el tiempo y ajustarse a las buenas prácticas. También controla el acceso diario y las autorizaciones de acceso y mantenimiento asignadas a determinados servicios o empleados.
El CISO también activará los procesos relativos al acceso y la autenticación, así como los sistemas de seguridad que haya elegido, en particular el cifrado de datos.
2. Documentar las medidas de seguridad de todos los tratamientos
Deberá dejarse constancia de toda modificación del tratamiento y de las personas con derecho a conocerla.
El registro también especifica las medidas previstas para mejorar la seguridad, aunque aún no sean operativas.
El papel del CISO consistirá en optimizar los aspectos técnicos de las medidas de seguridad que este haya decidido implantar. Para ello, tiene una función de vigilancia permanente.
3. Realizar el estudio de impacto de los riesgos para la seguridad de los datos
La evaluación de impacto es una de las fases iniciales clave del proceso de protección de datos personales. Participa en la evaluación de la legalidad del tratamiento (su justificación jurídica), en particular descartando cualquier manipulación innecesaria o excesivamente intrusiva.
El DPO le dará prioridad una vez finalizada la cartografía de sistemas y procesos. El CISO la completará evaluando los riesgos (de fuga, modificación, pérdida, etc.).
4. Llevar un registro de incidentes y violaciones de datos
El CISO debe poner especial cuidado en detectar los intentos de ataque a sus sistemas, gestionarlos lo más rápidamente posible, analizarlos y documentarlos.
La responsabilidad del DPO va un paso más allá: el artículo 33-1 del RGPD le obliga a notificar a la AEPD cualquier violación de datos personales, en un plazo de 72 horas desde que tenga conocimiento de ella.
La omisión de esta notificación aumenta las sanciones administrativas impuestas a la empresa, que pueden ascender hasta el 2% del volumen de negocios anual.
5. Garantizar que los principios de “privacy by design” y “privacy by default” se aplican a los proyectos
Lo ideal es que el concepto de seguridad se tenga en cuenta en la fase de diseño.
Como función clave del CISO, la seguridad diseñada en la arquitectura del sistema es más eficaz y requiere menos tiempo que aplicar múltiples parches a posteriori.
El usuario no debe tener que activar un sistema de seguridad: siempre que sea posible, debe estar instalado y activado por defecto, como un sistema de cifrado “transparente”.
El DPO aprovechará esta disposición porque sus usuarios de datos personales también se beneficiarán de la protección nativa sin siquiera darse cuenta.
6. Gestión, supervisión y control de riesgos
Tanto el DPO como el CISO participan en la supervisión y gestión de los riesgos asociados a la aplicación de la política de protección de datos.
Ya se trate de una transferencia, del recurso a un subcontratista o del acceso de un tercero, cualquier tratamiento de datos debe ser objeto de un control a priori, o incluso de una supervisión.
Sigue siendo responsabilidad del DPO comprobar que los subcontratistas y proveedores de servicios (empresas de contabilidad y auditoría, agencias de contratación, bancos, etc.) cumplen el RGPD. Debe redactarse (o enmendarse) un contrato con estos terceros en el que se especifique la seguridad de los datos utilizados por cada uno de ellos según el acceso que tengan a los datos personales del cliente. Es aconsejable insertar cláusulas de responsabilidad y/o penalización si el nivel de seguridad no es óptimo.
Es esencial establecer buenas prácticas y sensibilizar a los empleados, o incluso formarles en la seguridad de los intercambios de datos.
Las tareas del DPO y del CISO se complementan y enriquecen mutuamente. Sin embargo, no son intercambiables: el campo de acción del CISO es más amplio y técnico, mientras que el DPO se centra en los datos personales y tiene obligaciones y responsabilidades legales.