seguritecnia 454

46 SEGURITECNIA Junio 2018 Seguridad Integral T ras la aprobación del Regla- mento (UE) 679/2016 General de Protección de Datos (RGPD, o GPDR en sus términos en inglés) han cambiado algunos de los principios sobe los que se sustentaba la anterior regulación. Durante este artículo vamos a analizar algunos, además de cómo és- tos deben enfocarse desde el punto de la seguridad integral. Si nos referimos a la protección de la información, el RGPD ha optado por alinearse con un enfoque tradicional de seguridad de la información, me- diante la protección de la confidencia- lidad, integridad y disponibilidad de la información personal, como se inter- preta del artículo 32 del mencionado reglamento: “el responsable y el encar- gado del tratamiento aplicarán medi- das técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso in- cluya, entre otros… b) la capacidad de garantizar la confidencialidad, integri- dad, disponibilidad y resiliencia perma- nentes de los sistemas y servicios de tratamiento”. A diferencia de la anterior regulación, basada en medidas estandarizadas se- gún la tipología de los datos persona- les tratados, con el RGPD el enfoque a riesgos es imprescindible , dejando al responsable del tratamiento de los da- tos la decisión mediante un proceso formal de evaluación de aplicar aque- llas medidas acorde con los riesgos re- sultantes sobre la privacidad de los titu- lares o de los propietarios. Además, nó- tese que aparece por primera vez el concepto de resiliencia asociado a la protección de datos, término que incide más aún en el cambio de paradigma y que plantea una transformación a to- dos los niveles: organizativo, el enfoque a riesgos, la gestión de cambios, la se- guridad y privacidad desde el diseño y por defecto, la integración de la segu- ridad física y lógica, la responsabilidad proactiva, etc. Por otro lado, y desde el punto de vista organizativo y de gobierno, pode- mos decir que este nuevo enfoque ha forzado una in- tegración total de la protec- ción de la privacidad a lo largo de toda la organiza- ción, involucrando de ma- nera activa a todos los ám- bitos: legal y jurídico, tec- nología, riesgos, seguridad lógica, seguridad física, re- cursos humanos, respon- sables de áreas o departa- mentos, incluso a la direc- ción de la organización que debe ejercer la responsabi- lidad proactiva y velar por- que el cambio propuesto sea real y efectivo. El nuevo modelo promovido por el RGPD ha hecho que muchas de las fi- guras o roles que han emergido en la última década, fruto del aumento de la madurez de la cultura de la seguridad y de los modelos organizativos, tomen un mayor peso y se transformen en ro- les imprescindibles para la protección de la privacidad y de la seguridad. En la actualidad, las figuras que se encuen- tran relacionadas con la seguridad de la información son: CISO ( Chief Information Security Offi- cer ) : es el director de la seguridad de la información. Desempeña sus fun- ciones en el ámbito ejecutivo y tiene el objetivo de alinear la estrategia de la organización y los objetivos con la estrategia de seguridad y el pro- grama de gestión de seguridad de la información. CIO ( Chief Information Officer ) : es el director de sistemas de información y su labor principal es la confluen- cia de los sistemas con los objetivos de la empresa. El CIO analiza qué be- neficios puede sacar la empresa de las nuevas tecnologías y gestiona sus riesgos y el rendimiento de los pro- pios sistemas. CTO ( Chief Technology Officer ) : es la vertiente técnica del CIO. Se encarga de la supervisión continua de los sis- temas de la empresa. Es el responsa- ble del equipo de ingeniería y de la implementación de la estrategia téc- nica con aras de mejorar el producto o el servicio. CDO ( Chief Data Officer ): es el res- ponsable de la estrategia relacionada con los datos y la información, el go- bierno de datos, el control y desarro- llo de políticas y la explotación efec- tiva de los datos. La seguridad integral en el RGPD Cristina Zazo Consultora del Departamento Legal de Audea Juan José Gonzalo Consultor del Departamento Legal de Audea