(34) 928 228 151 info@gemed.es

Me dice una persona que conozco hace tiempo que está muy preocupado con la adaptación de su empresa al nuevo RGPD; (Reglamento General de Protección de Datos); y que está muy confundido con lo que le está ocurriendo.

Por una parte, me comenta que como puede ser posible que se haya enterado hace 4 semanas de la obligación legal que tiene de adaptar su antigua LOPD al nuevo RGPD. Y que esta obligación fue advertida porque una empresa de ciberseguridad le pidió una reunión y le ha puesto al corriente de sus nuevas obligaciones y de las implicaciones a futuro en materia de ciberseguridad que tiene la aplicación del nuevo RGPD.

Por otra parte, también me dice que su sorpresa/desconfianza viene de la falta de diligencia del bufete que le lleva la gestión en materia de cumplimiento de la LOPD. Su mayor queja se refiere al hecho de que este bufete no le haya advertido con tiempo suficiente ya que el Parlamento Europeo ha dado dos años a todas las empresas y administraciones de todos los países de la Unión para adaptarse a este nuevo reglamento. Plazo que se cumplió el 25 de mayo de 2018.

Por otra parte, mi conocido me dice:

A la vista de esto, la empresa que me visitó y me puso sobre aviso de mis obligaciones en materia de cumplimento del RGPD, me presentó una oferta para la realización de una auditoría de ciberseguridad y adaptación al reglamento. Como no tenía criterio para evaluar si estaba bien o mal, o si era cara o barata, llamé a la empresa de informática que nos presta servicios cuando tenemos problemas en nuestras redes. Les expliqué la situación y me dijeron que ellos también podían hacer esta auditoría. Cuando me presentaron la oferta, mi sorpresa fue mayúscula. La oferta de la primera empresa; (la experta en ciberseguridad); casi duplicaba en precio a la de la segunda. Realmente ahora no sé qué hacer. No entiendo cómo puede haber esta diferencia. Y evidentemente lo que estoy pensando es contratar a mi empresa de informática que además es la más económica.

Aquí paré a mi conocido en su diatriba y se me ocurrió hacerle una comparación con la medicina.

Antonio, entiendo perfectamente tu enfado con el bufete que te lleva las tareas asociadas al cumplimiento en materia de LOPD; y también entiendo tu desconcierto y falta de criterio a la hora de elegir con quién trabajarás a partir de ahora en materia de cumplimento legal y ciberseguridad.

Te hago la siguiente analogía. Imagínate que tienes diagnosticada una grave dolencia cardíaca y que tu salvación / curación, pasa por realizar un trasplante de corazón. La pregunta que te hago es la siguiente:

 

¿Con quien harías el trasplante de corazón? ¿con tu médico de familia, o con el cardiólogo especializado en trasplantes? Ambos son médicos.

Su respuesta fue inmediata. “Evidentemente con el cardiólogo especializado en trasplantes”.

Antonio, pues ahí tienes la respuesta a tus dudas en materia de cumplimento legal en materia de protección de datos e información y ciberseguridad.

Muchas empresas de informática; por lo que veo la tuya de confianza también; se están reconvirtiendo u orientando parte de su negocio hacia la ciberseguridad. Pero esto no es así en términos reales. Una página web aguanta todo.

Pero lo cierto es que las empresas de informática, aunque tengan técnicos superiores o ingenieros en informática, en telecomunicaciones, etc. no son empresas en ciberseguridad dado que no poseen personal formado en estas áreas de conocimiento. Estos profesionales, sí poseen la base; (al igual que un médico cuando sale de facultad); como para poder especializarse en los diferentes campos de la ciberseguridad. Pero no son ingenieros ni expertos en ciberseguridad. Son sólo informáticos.

Estas especializaciones se van adquiriendo a través de estudios cursados de manera individual y privada a lo largo del tiempo, y obteniendo diversas certificaciones y acreditaciones que son reconocidas nacional e internacionalmente. Además, se circunscriben más al ámbito privado en materia de ciberseguridad de nuevas empresas; (start-ups); u organizaciones internacionales reconocidas por los Estados como las normas ISO; (International Organization for Standardization); que al ámbito académico. Esto es así, porque la ciberseguridad / ciberdefensa, avanza a ritmos que no pueden ser reglados en disciplinas académicas reguladas. Dado que lo que es válido hoy, pasan 5 días y pudiera ser que esté obsoleto.

Por tanto, no sería válido en materia de ciberseguridad. De ahí que un generalista como es un técnico o ingeniero en informática o en telecomunicaciones, no sirva como experto en ciberseguridad, salvo que haya cursado de manera acreditada este tipo de disciplinas y se mantenga al día en ellas.

Hoy existen en el mercado diferentes herramientas de software que cualquiera puede adquirir y con ellas tratar de identificar determinadas vulnerabilidades en tu red informática, incluso sin necesidad de ser informático. La pregunta inmediata es: ¿Una auditoría realizada con estas herramientas y por personal que no es experto en ciberseguridad; me proporciona el nivel máximo de seguridad instantáneo; (NMSI)?

Evidentemente la respuesta es no. El 100% de seguridad no existe, ni en seguridad física ni en seguridad lógica. Y siempre considerando que quienes proporcionan esta seguridad física y esta seguridad lógica son especialistas formados en la materia. Por tanto, alguien no formado y especializado, reduce este NMSI de manera considerable.

Hemos llegado a tal nivel de desarrollo del software y de su mercado, que cualquier ciudadano con conocimientos muy básicos de informática y de redes, puede adquirir una herramienta en el mercado negro sin ser detectado y atacar a cualquier red informática de cualquier empresa o institución con el fin de obtener beneficios económicos a través del chantaje o simplemente por el placer de atacar para perjudicar.

Estos son algunos de los tributos de la sociedad hiperconectada. Pero también de las oportunidades del cambio de paradigma en materia de ciberseguridad y ciberdefensa.

En este momento me para Antonio y me pregunta:

Pero entonces, ¿qué criterios debo seguir para tomar la mejor decisión? O al menos la decisión más consistente y menos arriesgada para mis empresas.

Antonio, someto a tu análisis las siguientes premisas para que puedas sacar tus propias conclusiones y en consecuencia tomar la mejor decisión para tu organización empresarial.

Como bien sabes porque te ha informado esta empresa de ciberseguridad que me has comentado al principio, el nuevo RGPD incluye nuevas medidas técnicas y organizativas que la antigua LOPD no contemplaba en ningún caso. Fundamentalmente porque esta ley tiene su origen en una sociedad analógica y los riesgos asociados en fuga de datos o información eran mucho menores.

La antigua LOPD pertenece a una época en la que las redes de banda ancha y por tanto la conectividad aún estaban poco desarrolladas y en las que el concepto de ciberseguridad no existía con la amplitud e implicaciones que tenemos a estas alturas de siglo. Esta seguridad se realizaba con medidas reactivas. Antivirus, firewall, etc. sobre peligros ya conocidos. Pero hoy los eventos de seguridad se cuentan por millones cada día sobre cada dirección IP.

Dicho esto, Antonio, como ya sabes el RGPD, te impone nuevas exigencias en su articulado; en especial a sus artículos 25 y 48 donde te obliga a adoptar medidas técnicas; (auditorías de ciberseguridad); y medidas organizativas; (Sistema de Gestión de Seguridad de la Información); y que además deben ser sostenidos en el tiempo.

Llegados a este nivel de comprensión de la situación, las preguntas que debes hacerte deben de ir dirigidas a analizar como cubren estas propuestas de las empresas ofertantes estos dos aspectos, los técnicos y los organizativos. Por otra parte, y muy importante, debes preguntarte si quien te propone la solución son médicos de familia o cardiólogos especializados.

¿Cómo puedes saber esto? Muy fácil. Las empresas de ciberseguridad deben tener personal formado y acreditado. Esta relación de personal y sus acreditaciones, debes exigir que vengan incluidas en la oferta, con el fin de garantizar que los trabajos y servicios que vas a contratar van a tener la solvencia técnica necesaria para alcanzar los objetivos y obligaciones fijadas en el nuevo RGPD.

Antonio debes ser muy consciente que la responsabilidad última; y que puede llegar a ser penal del incumplimiento legal establecido en el RGPD es tuyo, y no de la empresa que hayas contratado para hacer unas auditorias y adaptar la LOPD al RGPD.

Es decir, si tu empresa es atacada y se genera una brecha de seguridad, se filtran datos de cualquier tipo que deberían estar protegidos de acuerdo a las exigencias y procedimientos establecidos en el reglamento, sufrirás una inspección por parte de los organismos encargados de estos asuntos en la Administración española. Esto implicará una investigación forense tanto del ataque como una evaluación exhaustiva de las medidas adoptadas y sostenidas a lo largo del tiempo. Llegados a este punto crítico, si no puedes demostrar estas medidas, tendrás un grave problema más allá de las pérdidas económicas o reputacionales que puedas tener y que será enfrentarte a las graves sanciones establecidas en el artículo 83 del RGPD.

Fuente: Propia

Fuente: www.agpd.es

Fuente: https://www.boe.es/doue/2016/119/L00001-00088.pdf

 

 

 

Pin It on Pinterest

Share This