seguritecnia 442

100 SEGURITECNIA Mayo 2017 Cumplimiento Normativo Es decir, le da un carácter “faculta- tivo” 5 , confiriéndole una responsabili- dad “personal” asignada al ejercicio de sus funciones y una independencia de la labor principal de la empresa u or- ganización en cuestión a la que presta servicio, a la vez que le sitúa, como veía- mos antes, como persona de referencia en la misma ante la Administración en lo relativo a esta materia. Este tratamiento o consideración no es novedoso en la legislación de la Unión Europea, y así, por ejemplo, las directivas de Basilea o Solvencia esta- blecen las famosas tres líneas de de- fensa, en las que de modo muy resu- mido y sencillo podríamos indicar que en la primera está el grueso de la em- presa y core del negocio; y en la tercera, el área de Auditoría Interna, como ga- rante último de los intereses de los ac- cionistas y cumplimiento de las leyes; y en la segunda, un conjunto no cerrado de figuras y responsables de funciones (riesgos, cumplimiento, actuarial, segu- ridad, control interno, etc.) que tienen entre sus características precisamente este necesario conocimiento especiali- ción de instalaciones, etc., y la gestión de los riesgos asociados. Pero entre esas instalaciones a proteger y contro- lar su acceso, siempre estaban los ar- chivos y todo tipo de documentación de la compañía. Por último, y al margen de las funcio- nes, hay otro aspecto significativo en re- lación con el DPO y el responsable de Seguridad, CISO, CSO, DS o como us- tedes prefieran llamarlo, y es precisa- mente la posición que el mismo debe ocupar dentro de la organización. Tal y como establece el RGPD, la po- sición del DPO en las organizaciones tiene que cumplir determinados requi- sitos, tales como: - Autonomía en el ejercicio de sus fun- ciones. - Necesidad de que se relacione con el nivel superior de la dirección. - Conocimientos especializados del De- recho y la práctica en materia de pro- tección de datos y capacidad para desempeñar las funciones asignadas. - Obligación de mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones. siendo llamado a veces como director, gerente, jefe o responsable de seguri- dad de la Información, tiene entre las funciones principales asignadas, tal y como indica el propio Incibe 3 : Generar e implantar políticas de se- guridad de la información. Garantizar la seguridad y privacidad de los datos. Supervisar el cumplimiento normativo de la seguridad de la información. La responsabilidad del equipo de res- puesta ante incidentes de seguridad de la información de la organización. De manera análoga, ISACA 4 establece entre las funciones del CISO las siguien- tes: Desarrollar la estrategia de seguridad, vigilar el programa y las iniciativas de seguridad y coordinarse con los due- ños de los procesos de negocio para una alineación constante. Verificar las evaluaciones de riesgo e impacto al negocio y desarrollar estra- tegias de mitigación de riesgos. Exigir el cumplimiento regulatorio y de las políticas. Monitorizar la utilización y efectividad de los recursos de seguridad. Gestionar incidentes de seguridad de la información. Responsable de Seguridad establecido en el Reglamento de Desarrollo de la LOPD Esta figura viene recogida en el artículo 95 del Reglamento de Desarrollo de la LOPD, donde se establece la necesidad de designar uno o varios responsables de seguridad encargados de coordinar y controlar las medidas de seguridad aplicables y recogidas en el documento de seguridad de la entidad. Responsable de Seguridad Con independencia de todo lo ante- rior, en cualquier empresa de cierto ta- maño ha venido siendo nombrado un responsable/gerente o jefe de Seguri- dad, cuyas funciones y responsabilida- des se centraban tradicionalmente en el aspecto físico de la protección a la empresa, el control de accesos, protec- Los DPO deben priorizar sus actividades en las cuestiones que presenten mayores riesgos relacionados con la protección de datos