Ciberseguridad

El director de seguridad frente a GDPR, a debate

El nuevo marco regulatorio europeo de protección de datos que empieza a aplicarse el 25 de mayo afecta de lleno al CISO, el máximo exponente de la ciberseguridad en las organizaciones. Sobre ello se debatió en el Fórum Ciberseguridad 2018.

debate forum ciberseguridad

¿Cómo afecta a las empresas el Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas inglesas) que empieza a ser de obligado cumplimiento el próximo 25 de mayo? ¿Cuál será a partir de ahora el papel de los CISO o directores de seguridad? ¿Cómo será la relación entre éstos y los delegados de protección de datos, necesarios en las empresas que quieran cumplir la nueva normativa? Sobre estas cuestiones se debatió en una mesa redonda organizada en el Fórum Ciberseguridad 2018. Moderada por María José Marzal, directora de ComputerWorld y CSO, el debate contó con la participación de dos directores de seguridad: Juan Cobo, de Ferrovial, y Jesús Mérida, de Técnicas Reunidas; un abogado: Rafael García del Poyo, socio de Osborne Clarke; y dos directivos de la industria tecnológica como Juan Jesús Merino, director de Ventas de Canal de Bitdefender España, y Héctor Sánchez Montenegro, director de Tecnología de Microsoft Ibérica.

 

Los dos directores de seguridad señalaron que sus empresas sí estarán preparadas a tiempo para cumplir el nuevo Reglamento. “Vamos a llegar en condiciones adecuadas; llevamos tiempo trabajando en esto. El cumplimiento es un tema que implica procesos y tiempo. En Ferrovial ya teníamos un modelo de cumplimiento relativo a la privacidad y lo que hemos hecho es adaptarlo al nuevo marco”, señaló Cobo.

 

Por su parte, Mérida recordó que Técnicas Reunidas lleva “muchos años trabajando con la LOPD (Ley Orgánica de Protección de Datos) de manera seria y fiable y ahora aplicaremos las medidas correctoras donde se requiera. Así que, aunque todo es mejorable, creo que llegaremos para cumplir con GDPR”.

 

Curiosamente ambas empresas tienen una estrategia similar de contratar un delegado de protección de datos externo. “En Ferrovial tenemos un comité que abarca todas las cuestiones legales y técnicas que reconvertiremos en un comité de privacidad. Éste trabajará de forma coordinada con un delegado de protección de datos externo, aún pendiente de nombrar”, desveló Cobo. “Haremos algo parecido en Técnicas Reunidas -indicó Mérida-. Externalizaremos esta figura que trabajará con nuestro actual comité de privacidad, que creamos con personal de las áreas de recursos humanos, compliance, tecnología y seguridad”.

 

Mejora de los procesos

Para Mérida, lo que está claro es que “GDPR obliga a analizar procesos, revisarlos y mejorarlos y nos ayudará en el manejo de la información en toda la compañía”. Una opinión compartida por el abogado Rafael García del Poyo. “GDPR es una declaración de principios de la UE, que supone reconocer que a partir de ahora los datos serán el centro de todo y, ante ello, la privacidad se establecerá por defecto. De ahí que haya que poner todas las medidas (de seguridad, jurídicas, organizativas) para cumplirla; para ello los profesionales legales tendrán que aprender de tecnología y viceversa”.

García del Poyo incidió en que los datos que regula el nuevo reglamento son los personales. “Estamos en la sociedad de la información, de los datos, y GDPR, que se aplica directamente, nos dice cómo tratarlos, aunque la nueva LOPD tendrá que desarrollar también determinados aspectos”. La clave para llegar con éxito al 25 de mayo y más allá es “abordar el tema de los datos de carácter personal desde una perspectiva jurídica, tecnológica y organizativa” y “hacer cosas nuevas” porque la normativa se ha ‘anglosajonizado’.

 

 

Un impulso a la inversión en ciberseguridad

Desde la industria tecnológica, Héctor Sánchez, de Microsoft, se mostró convencido de que “muchos procesos a los que obliga GDPR pueden ayudar a encaminar la ciberseguridad en las empresas y a mejorar las capacidades tecnológicas en la nube”. No obstante, según Juan Jesús Merino, de Bitdefender, “no todas las empresas cumplirán GDPR. A las pequeñas y a las medianas les costará más; más del 50 o 70% no van a llegar”, sentenció.

¿Se invertirá más en seguridad de la información en los próximos años? “Sí. Pero la seguridad no solo engloba al dato, también hay que mejorar los procesos de autenticación de las personas y hacer un ciclo de vida completo de la información”. “Es obvio que tendrán que invertir en tecnología y en redefinición de procesos para cumplir con GDPR”, según Merino.

 

Desde Ferrovial y Técnicas Reunidas, sus CISO aseveraron que seguirán invirtiendo en seguridad. “La inversión en ciberseguridad seguirá creciendo, no solo en tecnología sino también en procesos y en personas. La regulación es una palanca para la inversión en seguridad”, recalcó Cobo. Por último, Mérida recomendó “crear una cultura de seguridad en las organizaciones. Cada área deberá asumir su propia parte de seguridad”, añadiendo que en este camino el CISO seguirá teniendo su papel de “evangelista, predicador en el desierto”.



Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital