ISMS Forum debate sobre la gobernanza del dato y los riesgos para la privacidad y la seguridad
ISMS Forum y su grupo de trabajo Data Privacy Institute, celebraron el pasado jueves 18 de febrero el XIII Foro de la Privacidad en modalidad online, al que asistieron más de 500 profesionales del sector de la privacidad y protección de datos. En Interempresas tuvimos ocasión de asistir a la mesa redonda ‘Data Governance: privacy and security risks’, un debate que giró en torno a la organización de la protección de datos en las empresas de los invitados, abordando la figura del DPO y el rol del CISO, así como su interacción y el afrontamiento de problemas relacionados con la gestión de riesgos de terceros o la correcta implantación del GPDR y la Directiva NIS.
El panel de expertos de la mesa redonda ‘Data Governance: privacy and security risks’ estuvo compuesto por Francisco Lázaro, CISO y DPO de Renfe; Susana Rey, DPO de Euskaltel; Alfonso J. Menchén, DPO en Iberdrola; Raúl Gordillo, Regional Sales Manager Iberia de Pcysys; Vicente de la Morena, Territory Manager en RiskRecon, y Maica Aguilar, Broad Member de Data Privacy Institute (DPI), que actuó como moderadora del coloquio.
Con todos ellos se debatió cómo gobernar el dato desde las distintas vertientes, seguridad y privacidad, en un entorno cada vez más regulado, explicando en cada caso cómo tienen planteado ambos aspectos en su organización.
Susana Rey, explicó que en el caso de Euskaltel tienen definidas tres figuras: el CISO, que depende del área de TI; un DPO, cargo que ocupa ella misma, además de un responsable de asesoría jurídica, que trabajan de forma conjunta y coordinada. “Lo más importante es que nos organizamos transversalmente a través de una Comisión porque creemos que no podemos funcionar de forma independiente. No podemos ser silos estancos que no se comunican”.
Maica Aguilar, Broad Member de Data Privacy Institute (DPI).
Una aproximación muy práctica, similar a la que tienen en Iberdrola, según comentó Alfonso J Menchén, el DPO de la compañía. “En nuestro caso contamos también con las dos figuras, e igualmente la herramienta fundamental son los comités de trabajo, en los que participamos todos. Debemos funcionar de manera coordinada porque sin ciberseguridad no hay privacidad”.
En el caso de Renfe, las dos figuras, DPO y CISO, coinciden en la misma persona Francisco Lázaro, que es el responsable de ambos grupos de trabajo, uno compuesto por personal de TI y otro con profesionales del área legal. “Funcionamos con dos comités pero que trabajan de forma conjunta en el análisis de los riesgos. Hasta ahora no se ha producido nunca un conflicto entre las dos áreas porque no ha lugar ya que cumplir con la legalidad es la prioridad número uno de ambos”.
Pero, con qué recursos tecnológicos cuentan las organizaciones a la hora de gestionar el riesgo, y más en concreto, ¿cómo están ayudando empresas como Pcysys o RiskRecon a los clientes? Ambas explican su propuesta y qué tipo de soluciones están solicitando los clientes en materia de protección de datos y seguridad.
Raúl Gordillo, Regional Sales Manager Iberia de Pcysys, compañía tecnológica de inteligencia artificial y Machine Learning para el análisis de vulnerabilidades y validación del riesgo, detalló que en su caso “ayudamos a los clientes en su gestión del riesgo en función del negocio de cada organización. La aproximación es por ambos lados, seguridad y privacidad, aunque normalmente nuestro interlocutor es del área de Ciberseguridad (CISO), que a su vez debe atender la protección de datos”.
Por su lado, Vicente de la Morena, Territory Manager en RiskRecon, una compañía del Grupo Mastercard, comentó que “cuando comenzamos a trabajar en una organización le mostramos la verdadera visibilidad del riesgo IT real de sus proveedores, lo que le permite anticiparse a que se produzcan infracciones”. RiskRecon proporciona un sistema de gestión de riesgos de terceros, en el que los riesgos priorizan de forma automática los problemas en función de la gravedad de éstos, y del valor de los activos.
Susana Rey, DPO de Euskaltel.
Vuelta de tuerca en la normativa europea
La actual Directiva NIS de la Unión Europea recoge la obligatoriedad de designar un Responsable de Seguridad de la Información (CISO) e implantar la gestión de los riesgos para las redes y los sistemas de información de los servicios esenciales, así como la adopción de las medidas a aplicar identificándolas en la declaración de aplicabilidad.
Además de esta normativa, junto con la GDPR para la Protección de Datos, como apuntó Maica Aguilar, en el medio plazo “desde Europa se nos va a dar una vuelta de tuerca más con la aprobación de NIS 2, cuyo borrador ya se encuentra disponible y su aprobación se espera en los próximos meses y con DORA, la propuesta de la Comisión del Reglamento para la resiliencia operativa digital del sector financiero”.
En este sentido, para Susana Rey, el de telecomunicaciones ya es un sector muy regulado, “porque además damos servicio de ISP a grandes proveedores y nos piden dar esas garantías de seguridad. En todo caso, nuestro modelo de gestión de riesgo ya está preparado para las futuras evoluciones de las normativas”. De esta manera, “aunque se produzcan cambios o actualizaciones de las normas, no tenemos que empezar de cero y es mucho más sencillo la adaptación”, apuntó la portavoz de Euskaltel.
Raúl Gordillo, Regional Sales Manager Iberia de Pcysys.
El mismo modelo de anticipación siguen en Iberdrola porque como advierte su PDO, Alfonso J. Menchén, “se trata de intentar no suponer una sobrecarga de trabajo a la hora de realizar una autoevaluación para ver si cumplimos con los requisitos de las nuevas normativas que se van actualizando”.
Francisco Lázaro se muestra de acuerdo en este punto con sus compañeros de mesa de debate, y añade que él encuentra además otros retos en este sentido. “La cadena de suministro es un punto a tener en cuenta, y esto es aplicable tanto a la protección de datos como a la ciberseguridad. No todas las organizaciones tienen esa madurez y el tema de las responsabilidades no está claramente definido”.
Los portavoces apuntan a la importancia de que con NIS 2 quede definida la figura del CISO, por que si no ¿quién realiza esa función? se preguntan. En este sentido, los panelistas comentaron que incluso en grandes compañías no tienen esa figura y con la normativa actual no hay un control efectivo de ello.
En Europa existen además diferencias en la interpretación de la NIS, no todos los países tienen estas dos figuras. Los países deberán adaptarse o podrán incurrir en sanciones.
Otro problema con el que nos encontramos, comentó Susana Rey, y que esperan que esté más regulado con las nuevas normativas, es que “en nuestro caso como operador de telecomunicaciones tenemos obligación de auditar a nuestros proveedores, pero estamos encontrando serios problemas. Es difícil que te dejen hacerlo y saber si cumplen con las normas, SLAs, etc”.
