Ciberseguridad
Cumplimiento
La ciberseguridad en general, y la protección de datos personales en particular, adquieren cada día más importancia
Normativa
La ciberseguridad en general, y la protección de datos personales en particular, adquieren cada día más importancia para la mejora de la competitividad en el mundo de los negocios arrastrado por las ventajas en conectividad, inmediatez y ubicuidad a la inevitable transformación digital. Tanto es así que en los últimos años la ciberseguridad se ha convertido en una prioridad. Prueba de ello son los cambios que se están produciendo en las normativas que a su vez implican importantes desafíos para las organizaciones.
En el ámbito internacional se ha incrementado en los últimos años la importancia que se concede a la transformación digital como elemento fundamental para conseguir un crecimiento económico inclusivo y sostenible. Los esfuerzos de la UE se han centrado en conseguir un entorno digital más equitativo, abierto y seguro.
Para ello, en el seno de la Comisión Europea han entrado en vigor en los últimos años, entre otras, unas normativas relativas a la ciberseguridad que afectan en mayor o menor medida a las empresas, ya sean proveedoras o clientes de otras empresas
Normativas relativas a la ciberseguridad que afectan a las empresas
Servicios de Pago
La Directiva de Servicios de Pago (PSD2) para el desarrollo del mercado interior de pagos electrónicos que aplica a los proveedores de servicios de pago electrónico, es decir, al sector de las entidades financieras y al comercio electrónico, con importantes mejoras para la protección de los consumidores
Reglamento
El Reglamento sobre identificación electrónica y servicios de confianza (eIDAS) También relacionado con el comercio y las transacciones electrónicas.
La Directiva NIS-2
La Directiva NIS-2 para la seguridad en las redes y sistemas de información que insta a los Estados miembros a estar equipados y preparados para dar respuesta a incidentes a gran escala, y que es aplicable a los operadores de servicios esenciales (energía, transporte, banca, mercados financieros, sanidad, suministro de agua potable e infraestructura digital) y a los proveedores de servicios digitales (mercados online, motores de búsqueda online y servicios cloud). Esta directiva ha llevado a la reciente asociación de las entidades expertas en la respuesta ante incidentes de ciberseguridad en España: CSIRT.es.
RGPD
Y finalmente la relativa a la protección de datos personales, que se concreta en el Reglamento General de Protección de datos, RGPD, también llamado GDPR por sus siglas en inglés, y que aplica a todas las empresas que realicen tratamientos de datos personales
Leyes, regulaciones y directrices
Además de estas normas citadas, hay otras leyes, regulaciones y directrices que podrían sernos de aplicación, tales como:
- Ley de Propiedad Intelectual.
- Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.
- Ley General de Telecomunicaciones
Para facilitar la tarea de localizar las normativas que nos pueden afectar en el tráfico mercantil de nuestras empresas existe la opción de consultar el CÓDIGO DE DERECHO DE LA CIBERSEGURIDAD que se mantiene siempre actualizado en: BOE.es – Código de Derecho de la Ciberseguridad
Ante esta perspectiva, es importante que las empresas examinen su situación en cuanto a la seguridad de la información en sus organizaciones —y, en particular, en cuanto a sus políticas de privacidad—, además de la que les ofrecen sus proveedores de servicios digitales, pues la confianza de sus clientes, y con ella su propia competitividad, está en juego.
Podríamos decir que el RGPD es de amplio espectro, al verse afectadas empresas de todos los sectores y tamaños. Es un hecho que los usuarios, al relacionarse con las empresas emplean cada vez más la tecnología, por ejemplo redes sociales, aplicaciones móviles y tiendas online. En estas interacciones intercambian gran cantidad de información personal (identificación, gustos, hábitos de compra, preferencias,…) que, a su vez, resulta esencial para el éxito y la estrategia de las empresas. Pero los usuarios son cada vez más conscientes del valor de su privacidad, y no están dispuestos por ejemplo: a verse avasallados por publicidad, a ser localizados cuando no lo esperan o a ser discriminados por su perfil; ni mucho menos a resultar víctimas indirectas de una fuga masiva de datos de sus proveedores o tiendas de confianza, o a ser víctimas de un robo de identidad.
¿Qué medidas de seguridad debo tomar para cumplir con el RGPD?
La protección de la privacidad en el nuevo Reglamento ha de hacerse de forma proactiva adoptando precauciones para garantizar los derechos y libertades de los usuarios con respecto a sus datos personales. Por ejemplo, proporcionándoles información sobre el tratamiento, recabando su consentimiento inequívoco o expreso, o habilitando formas sencillas para que puedan ejercer sus derechos ARCO, portabilidad, derecho al olvido y limitación del tratamiento.
Responsable
Informa --> Consentimiento --> Garantiza los derechos-->Revisa los contratos con encargados de tratamiento-->Realiza un análisis de riesgos e implanta las medidas técnicas apropiadas--> Ajusta tus procedimientos internos de trabajo-->
Aprobador
Adecúa las políticas internas--> Realiza una EIPD cuando estés ante una actividad que puede conllevar un alto riesgo a derechos y libertades--> Comprueba si necesitas o no contar con un DPD/DPO-->
Consultado e Informado
Lleva un registro de actividades de tratamiento (inventario de operaciones de tratamiento)-->Forma y sensibiliza a tu personal--> Verifica que puedas estar en condición de demostrar que cumples con todas las garantías.
Más medidas que hemos de tomar en la empresa
Pero estas no son las únicas medidas que hemos de tomar en la empresa para proporcionar las garantías a los usuarios, proveedores y empleados sobre sus datos personales. Todo el personal que intervenga en el tratamiento está involucrado en la seguridad de los datos y en garantizar los derechos y libertades de los dueños de los mismos. Por eso:
Además, no sólo hemos de poder proporcionar las garantías sobre los datos a las personas, debemos estar preparados para poder demostrar que lo hacemos correctamente.
* su soporte tecnológico y el área legal de su empresa tendrán que revisar contratos, adecuar políticas y ajustar procedimientos para hacer que los tratamientos sean confiables,
* el resto de personal debe entender los cambios y ser capaces de ejecutarlos.
Para poder realizar parte de estas tareas es muy útil disponer de una taxonomía de soluciones de seguridad. Como ejemplo, la imagen nos muestra una taxonomía que propone el INCIBE:
Quieres saber más sobre Ciberseguridad
Revisa el siguiente paso Virtualización
