Cómo DevSecOps puede hacer que su SGSI basado en ISO 27001 sea más maduro

Prefacio

Empecemos con una imagen un poco sobredimensionada de la Seguridad de la Información. ¿Por qué? Porque es algo extraño. Casi todo el mundo la conoce. La mayoría de la gente ya ha entrado en contacto con ella directa o indirectamente. Te dicen lo importante que es y lo malo que sería que se produjera un ciberataque. Pero, por otro lado, los responsables de seguridad que intentan aplicar medidas de seguridad, a menudo tienen que enfrentarse a negativas:

  • Los "chicos de la seguridad" siempre bloquean o ralentizan los proyectos más rentables para la empresa.
  • Los desarrolladores y administradores de sistemas sólo ven la carga de trabajo adicional que se añade a sus puestos debido a la seguridad.
  • Para muchos usuarios finales, burlar las medidas de seguridad de la forma más creativa parece una especie de deporte.

Cómo puede ser práctica la seguridad

No queremos ser catastrofistas, no siempre es tan malo como acabamos de describirlo, pero las personas que trabajan en Seguridad de la Información podrían reconocer algunas de las historias anteriores durante más tiempo. Quejarse no es la razón de este artículo; explica cómo se puede implementar la seguridad práctica en una fase muy temprana del desarrollo de software utilizando DevSecOps.

Al mismo tiempo, se relaciona con los Sistemas de Gestión de la Seguridad de la Información (SGSI), más teóricos y orientados al cumplimiento, que la mayoría de las empresas tienen implantados hoy en día. Existen varias ideas sobre cómo combinar ambos enfoques. Nos centraremos en una relativamente nueva: OWASP DSOMM, el modelo de madurez DevSecOps del Open Web Application Security Project.

ISO 27001: conocida y ampliamente utilizada

Empecemos por la ISO 27001, la norma de seguridad de la información en la que se basa el SGSI de la mayoría de nuestros clientes. Mientras que la ISO 27001 define los requisitos generales, la ISO 27002 asociada ofrece una lista detallada de los documentos requeridos y recomendados. Mide los controles desde temas organizativos como una Organización de Seguridad de la Información bien definida sobre los procesos (on-/offboarding, respuesta a incidentes, gestión de proveedores), hasta requisitos detallados como una política de contraseñas o una matriz de funciones y responsabilidades bien definida.

Lo que realmente se necesita

La gente se queja de los requisitos y controles de la norma ISO porque cambia su actividad diaria; es demasiado de alto nivel. Muchos quieren tener requisitos precisos que puedan utilizar y aplicar directamente, pero, por desgracia, la ISO 27001 / 27002 pura no funciona a ese nivel. Se necesita una correspondencia entre el alto nivel y la aplicación práctica de bajo nivel para las operaciones cotidianas.

Por lo tanto, nos centramos en una nueva idea de mapeo: una parte de los requisitos enumerados en la norma ISO 27002 es un "proceso de desarrollo de sistemas documentado" (sección A.14). Aquí es donde DevSecOps y el Modelo de Madurez DevSecOps (DSOMM) de OWASP entran en juego.

Por qué DevSecOps tiene sentido para su organización

DevOps (combinación de desarrollo de software, "Dev", y operaciones de TI, "Ops") también es bien conocido en el sector del desarrollo de software desde hace años. Su objetivo es acortar el ciclo de vida de desarrollo de sistemas y proporcionar una entrega continua con una alta calidad de software. Este desarrollo de software basado en DevOps se aplica a menudo en el marco de enfoques ágiles como Scrum o Kanban, ya que ambas ideas persiguen el mismo objetivo: ciclos de vida cortos y entrega continua.

DevSecOps (DevOps con seguridad profundamente integrada - "Sec") se añadió a DevOps más tarde, cuando la gente se dio cuenta de que implementar la seguridad ya en una fase temprana del desarrollo tiene varias ventajas. Los posibles problemas de seguridad se detectan pronto y no es necesario corregirlos durante la fase de desarrollo o en una fase posterior. Como regla general, cuanto más tarde se identifique un problema de seguridad en el ciclo de vida del software, más costoso será solucionarlo.

Identificación de problemas de seguridad

Costes relativos de corrección de errores, en función del momento de la detección

Ocuparse de los fallos de seguridad ya durante la fase de desarrollo (requisitos, arquitectura, codificación, integración, pruebas de componentes) podría ahorrar muchos recursos: tiempo y presupuesto, así como escasa motivación del equipo.

Volviendo a las reticencias iniciales a las que se enfrentan los responsables de seguridad, DevSecOps satisfaría a varias partes:

  1. En primer lugar, la vertiente empresarial
    1. no recibe (o al menos recibe menos) "bloqueos" tardíos de la seguridad
    2. consigue costes más bajos y proyectos más puntuales y ajustados al presupuesto gracias a la corrección temprana de errores
  2. En segundo lugar, los desarrolladores y administradores de sistemas
    1. tener que hacer frente a menos problemas de seguridad durante las pruebas y la aplicación, lo que podría ahorrar mucho tiempo.
    2. educarse automáticamente para hacerlo de la misma manera y con más seguridad en futuros proyectos, ya que el proceso en general fue más sencillo y menos frustrante.

Como se acaba de describir, realizar el desarrollo de software con el enfoque DevSecOps tiene muchas ventajas. El problema es cómo podemos utilizar este enfoque más bien práctico y orientado al desarrollo como entrada para un SGSI basado en la norma ISO 27001, por ejemplo:

  • cómo guardar secretos,
  • cómo transferir parámetros confidenciales, o
  • cómo hacer un inventario de los artefactos en funcionamiento, etc.

Este enfoque no trata estos temas a un nivel tan detallado. La información es necesaria para documentar y demostrar lo que se hace para alcanzar los controles específicos de la norma ISO 27002. Cualquiera que haya participado alguna vez en una auditoría basada en la norma ISO 27001 sabe lo importante que es esta información y lo centrados que están la mayoría de los auditores en la SoA (Declaración de Aplicabilidad). El SoA documenta exactamente los vínculos entre un control ISO 27002 y la medida técnica u organizativa que una empresa ha implementado para abordarlo.

Combinándolos: el enfoque DSOMM de OWASP

El equipo del proyecto OWASP DSOMM también reconoció esta necesidad. Hace relativamente poco, se ha añadido un mapeo de los temas DS OMM a los controles ISO 27002. Algunos de nuestros clientes que trabajan con DevSecOps ya utilizan este mapeo. El ISMS-maintainer puede mapear directamente las medidas realizadas durante DevSecOps a los correspondientes controles ISO 27002 como se enumeran en el SoA. La mayoría de los mapeos DSOMM se refieren a A.14 (proceso de desarrollo del sistema documentado) y algunos a controles como A.12 (operaciones, copias de seguridad, supervisión, etc.), por lo que la cobertura ya es relativamente amplia.

Por lo tanto, el uso del nuevo mapa DSOMM-ISO27701 podría ser un puente entre el SGSI de alto nivel y el proceso de desarrollo de software de bajo nivel. Recomendamos encarecidamente debatir este tema entre los responsables de productos y riesgos de los equipos de desarrollo y los responsables de seguridad de la información (CISO). Es un paso más hacia un software más maduro y seguro. Al mismo tiempo, también es un paso más hacia un SGSI maduro.

Conclusión

¿Se dedica al desarrollo de software en su empresa, ya sea para uso propio o como producto para terceros? ¿Le preocupa la seguridad de la información, no sólo en teoría, sino también a nivel práctico? Bueno, entonces definitivamente debería echar un vistazo más de cerca a DevSecOps en general, especialmente si sus equipos de desarrollo ya trabajan ágilmente. En CISO AG le ayudamos a automatizar las principales tareas de seguridad e implementarlas en su flujo de trabajo DevOps.

¿Elegir un CISO virtual o un CISO como servicio?

¿Qué es vCISO?

El vCISO (virtual information security officer) es un nuevo tipo de ejecutivo de seguridad de nivel C cuyo objetivo es ayudar a las empresas a mejorar sus programas de ciberseguridad y lograr el cumplimiento de la normativa. Es una función destinada a prevenir o defenderse contra la ciberdelincuencia y las violaciones de datos críticos, ya que el número de este tipo de ataques sigue aumentando. Las amenazas a la ciberseguridad existen en todos los rincones del gran mundo, y los ciberdelincuentes ya están ideando nuevas formas de atacar a las empresas. Por ejemplo, la última vulnerabilidad crítica Log4J está siendo explotada in the wild, mientras usted lee esto. Por eso es más importante que nunca proteger su empresa contra estas amenazas, pero es más fácil decirlo que hacerlo.

Un vCISO (Virtual Chief Information Security Officer) es un líder de seguridad de nivel C que trabaja con sus equipos de gestión, TI y seguridad para desarrollar una estrategia que elimine cualquier posible violación de datos o intento de intrusión. Un vCISO es un profesional externo con experiencia que proporciona asistencia continua en muchas áreas de la ciberseguridad, como la evaluación de riesgos y la elaboración de estrategias, la asistencia técnica, la formación interna, la reestructuración de la organización y muchas otras.

Es un trabajo duro, pero alguien tiene que hacerlo. Puede ser fácil que la seguridad de la información pase a un segundo plano en el ajetreo y el bullicio de dirigir una empresa. Un ciberataque puede costarle millones a su empresa, lo que puede dañar su reputación, acarrearle multas de la administración y, en algunos casos, incluso demandas de los clientes.

Trabajar con un Virtual Chief Information Security Officer (vCISO) significa tener a un experto a su lado que le ayude a crear y ejecutar un programa de ciberseguridad para combatir los ciberataques a todos los niveles.

"Un vCISO de alto nivel sabe cómo transmitir sus conocimientos y experiencia de forma eficaz, al tiempo que desarrolla una cultura positiva para la seguridad dentro de una organización. La educación es clave, a todos los niveles, y elevar el talento existente a menudo proporciona los resultados más rápidos". - afirmó Cathal Judge, fundador de CISO AG.

¿Un CISO a tiempo completo o un vCISO? ¿Cuál elegir?

Se espera que el mercado mundial de la seguridad de la información alcance los 167 120 millones de dólares en 2025, según el último estudio de Grand View Research Inc. El aumento de las filtraciones de datos, la evolución de las infraestructuras informáticas y la tendencia a externalizar la seguridad informática son tres de los factores que impulsan este crecimiento.

Lo cierto es que los ciberataques han golpeado a empresas de todos los tamaños. Sin embargo, muchas de ellas carecen de los recursos necesarios para hacer frente a estas amenazas con eficacia. Cuanto mayor sea su tamaño en términos de ingresos, empleados o base de clientes, más probabilidades tendrá de convertirse en objetivo de los piratas informáticos.

Necesita un experto en seguridad a bordo para mantener sus sistemas seguros y protegidos, pero no dispone de un profesional interno para hacerlo.

La necesidad de talento cualificado en seguridad de nivel C -pero la falta de personas cualificadas para cubrir todos los puestos- está convirtiendo a los CISO internos en uno de los puestos más candentes del mercado actual de talento en ciberseguridad.

Resolver la escasez de CISO

Los directores de seguridad de la información (CISO) cualificados y con experiencia son costosos y difíciles de encontrar. Con el aumento de la demanda de CISO, más organizaciones buscan contratarlos, pero puede ser difícil encontrar a la persona adecuada. Los candidatos a CISO de alto nivel escasean, lo que significa que hay una competencia feroz por los mejores.

Hay muchas opiniones encontradas cuando se trata de CISO frente a vCISO. Un CISO a tiempo completo es más caro pero más práctico. Sin embargo, un vCISO permite a los miembros del equipo de seguridad desarrollar sus habilidades y puede ser más económico a corto plazo para las empresas.

El valor de una vCISO para su organización

¿Y si su empresa pudiera obtener la asistencia en ciberseguridad que necesita cuando la necesita? ¿Debería gestionar la ciberseguridad internamente o a través de un proveedor externo? Un CISO virtual a petición (vCISO) es un experto de vanguardia en seguridad que trabaja con usted a medida que su empresa crece y sus requisitos de seguridad cambian.

Y cuando se encuentra uno, suele ser demasiado caro. ¿Y si su empresa pudiera obtener asistencia en ciberseguridad de un experto de talla mundial cuando la necesitara? Ahí es donde entra en juego una vCISO.

Esto significa que las organizaciones que necesitan cubrir esa función crítica podrían tener que recurrir a un CISO virtual (vCISO) bajo demanda. Así podrán centrarse en sus operaciones empresariales mientras el vCISO se ocupa de sus necesidades de seguridad de la información.

4 ventajas de contratar a un CISO virtual

1. Eficiencia de costes

El mercado actual de directores de seguridad de la información es competitivo, y la demanda de candidatos cualificados supera a la oferta. Si desea contratar a un CISO a tiempo completo, puede que le sorprenda el coste. Se calcula que un CISO a tiempo completo y bien cualificado puede tener un salario de seis cifras y permanecer en el puesto sólo unos pocos años. En lugar de contratar a alguien a este precio, puede contratar a un vCISO, que cuesta entre un 30 y un 40% menos. Un vCISO puede empezar a trabajar inmediatamente y requiere unos costes de incorporación significativamente menores que una contratación a tiempo completo: no requiere prestaciones ni nóminas.

Los Directores de Seguridad de la Información virtuales son profesionales expertos y altamente experimentados que normalmente pueden empezar a trabajar inmediatamente y requieren unos costes de incorporación significativamente menores que los de una contratación a tiempo completo: sin prestaciones ni nóminas. Un CISO virtual ofrece una opción mucho más asequible para su empresa: cobran una fracción del coste de contratar a un CISO a tiempo completo y eliminan el riesgo asociado a la formación de un nuevo empleado.

2. La flexibilidad de los servicios vCISO

Grandes empresas de todo el mundo utilizan los servicios de vCISO para externalizar sus necesidades de ciberseguridad y cumplimiento normativo, porque confían en que obtendrán resultados de la máxima calidad sin tener que realizar grandes inversiones en el talento. Sus relaciones con nuestro equipo se basan en la confianza y se gestionan de forma remota, lo que les permite reducir los gastos generales sin verse frenados por compromisos financieros a largo plazo o cuellos de botella en la contratación.

3. Amplitud y profundidad de la experiencia de la vCISO

Dado que su vCISO suele estar a la vanguardia de la innovación y se adapta continuamente a las nuevas y cambiantes normas de seguridad, podrá ofrecer a su organización la mejor tecnología actual. Un vCISO al ser independiente puede servir como agente de cambio en su empresa. Contratar a un vCISO es una gran manera de asegurarse de que tiene acceso a tantos recursos como sea posible, incluidos los expertos de la industria con conjuntos de habilidades más específicas. Dichos expertos pueden actuar como una extensión cuando sea necesario, proporcionando una orientación integral de seguridad a su organización y dándole la mejor oportunidad de prevenir o recuperarse de los ciberataques.

4. Independencia

Los vCISO son únicos y comparten las habilidades de un ejecutivo de nivel C y los conocimientos de un experto en seguridad. Como consultores de seguridad externos, los vCISO son un ingrediente esencial para el éxito de su ciberseguridad. Dado que un vCISO no forma parte de la empresa, no tiene prejuicios y podrá ofrecer una perspectiva fresca sobre las necesidades de seguridad de su organización.

Son un par de ojos independientes para su equipo y su entorno empresarial, lo que significa que pueden encontrar vulnerabilidades y puntos débiles antes de que lo hagan los atacantes, permitiéndole mejorar su postura de ciberseguridad antes de que se produzca ningún incidente. También trabajan para solucionar cualquier problema existente del que su equipo pueda no ser consciente, deteniendo potencialmente costosas brechas en su camino.

Un CISO virtual le proporcionará asesoramiento estratégico experto y visión, ya que vienen de fuera de la organización y tienen mucha experiencia en hacer frente a las amenazas de seguridad, por lo que no están atascados con "cómo siempre lo hemos hecho". Son expertos profesionales que no están agobiados por la política o las agendas de la oficina: tienen que hacer bien el trabajo y hacerlo bien a la primera. Un vCISO puede beneficiar a cualquiera que desee ahorrar tiempo y dinero en sus capacidades de ciberseguridad.

Función y responsabilidades de la vCISO

El vCISO sirve de enlace entre los departamentos de negocio y tecnología. Las responsabilidades de un vCISO son diversas, e incluyen impulsar la educación en seguridad de la información dentro de la empresa, recomendar las mejores prácticas para prevenir incidentes de seguridad y protegerse contra amenazas externas, y examinar los sistemas y procesos internos para crear planes procesables que se basen en los puntos fuertes de los sistemas existentes, mejorando al mismo tiempo los puntos débiles de la ciberseguridad.

Un vCISO no sólo puede diseñar y crear un marco de seguridad completo para una empresa, sino que también puede elaborar y aplicar políticas y procedimientos adecuados. Con un ojo puesto en el cumplimiento y la seguridad, pueden garantizar que todo funcione sin problemas, al tiempo que sirven como recurso al que acudir para el equipo directivo.

En pocas palabras, el vCISO se encargaría de una amplia gama de aspectos de ciberseguridad. Un vCISO puede ayudarle a prepararse para cumplir los requisitos normativos y las normas de ciberseguridad como HIPAA, PCI DSS, ISO 27001, ISO 9001, NIST SP 800-53, NIST SP 800-171 y otras.

  • Identificación de los activos críticos de su empresa para el análisis de evaluación de riesgos
  • Desarrollar la estrategia de ciberseguridad de su organización
  • Elaboración de un plan y un programa de ciberseguridad (a medio y corto plazo)
  • Creación de un programa de Gobernanza, Riesgo y Cumplimiento (GRC)
  • Mantenimiento de las operaciones generales de seguridad
  • Evaluar a las personas, incluida la gestión de personal, contratistas y proveedores.
  • Creación y ejecución de una estrategia de formación sobre ciberseguridad y cumplimiento de la normativa para el personal
  • Políticas, directrices y normas de seguridad
  • Cumplimiento de HIPAA o PCI
  • Evaluación del riesgo de los proveedores
  • Política y aplicación de "traiga su propio dispositivo" (BYOD)
  • Adquisición de estrategias de seguridad
  • Plan de respuesta a incidentes y reparación de incidentes
  • Cumplimiento de la normativa
  • Implantación de un programa de concienciación sobre seguridad.

CISO como servicio

CISO-as-a-Service es un modelo de contratación de expertos que centraliza la gestión de la ciberseguridad y facilita la colaboración entre los equipos internos de TI y ciberseguridad. Facilita a las empresas el cumplimiento de GDPR, HIPAA y PCI-DSS.

CISO-as-a-Service lleva a las empresas y los programas de ciberseguridad al siguiente nivel. Permite a las empresas reforzar su programa de ciberseguridad y gestionar el cumplimiento de la normativa. Se trata de un componente esencial en el que toda organización debería invertir: permitirá una comunicación clara y más eficiente entre la alta dirección y el departamento de TI, lo que permitirá a los líderes confiar en la protección de su ciberseguridad.

CISO-as-a-Service elimina todo el trabajo, el dolor de cabeza y la angustia de crear un programa de ciberseguridad de alta calidad para su empresa. Se trata de una inversión esencial y crítica para que la empresa evalúe y refuerce la eficacia de su programa de ciberseguridad y satisfaga las cambiantes exigencias de cumplimiento normativo de los organismos reguladores de todo el mundo.

CISO virtual o CISO como servicio ofrecido por CISO AG

Sus necesidades de seguridad son complejas, pero trabajar con un equipo de ciberseguridad experimentado es sencillo. Cuando se asocia con CISO AG, hacemos el trabajo pesado para su equipo con el compromiso CISO-as-a-Service. CISO AG ofrece un enfoque holístico de la ciberseguridad centrado en el cliente para que usted pueda dedicar su energía a su actividad principal.

Tanto vCISO como CISO-as-a-Service le dan acceso a años de nuestra experiencia. Nuestro variado equipo de expertos en distintos ámbitos de la ciberseguridad le ayudará a identificar sus activos de información críticos, ya sean locales o en la nube, a crear un sistema de ciberdefensa sólido y coherente, y a lograr el cumplimiento de las normativas del sector en todo el mundo.

CISO AG amplía su equipo, lo que significa que trabajamos continuamente para mantenerle totalmente protegido. Aunque nuestras tarifas son muy asequibles, no escatimamos en calidad. Nuestros clientes son lo primero: estaremos ahí las veinticuatro horas del día para protegerle de ciberamenazas de todo tipo.

Si desea obtener más información sobre cómo nuestro paquete vCISO o CISO-as-a-Service puede beneficiar a su empresa, no dude en escribirnos a: info@cisoag.com hoy mismo.

Las 10 principales ventajas del DPO como servicio y del DPO virtual

¿Cumple la normativa GDPR?

El Reglamento General de Protección de Datos (RGPD ) obliga a todas las organizaciones a cumplir normas específicas de protección de datos y privacidad. Las organizaciones que cumplan los requisitos de la Oficina de Comisionados de Información (ICO) deben contratar a un responsable de protección de datos. Todas las organizaciones deben contar con un RPD que sea plenamente responsable de definir y gestionar los controles sobre la información sensible.

La agresividad de la ciberdelincuencia, en constante evolución, supone una grave amenaza para los ciudadanos, las empresas y las organizaciones de la administración pública europeos. Al mismo tiempo, la mano de obra móvil y remota dificulta aún más el cumplimiento del RGPD.

La mayoría de las organizaciones procesan cantidades cada vez mayores de datos como consecuencia de la digitalización. En consecuencia, estas empresas deben tomar las medidas adecuadas para salvaguardar a sus clientes y su negocio mediante una gestión adecuada de los datos. La designación de un responsable de protección de datos garantiza la supervisión y gestión de sus valiosos datos corporativos.

El Reglamento General de Protección de Datos (RGPD ) obliga a todas las organizaciones a cumplir normas específicas de protección de datos y privacidad. Las organizaciones que cumplan los requisitos de la Oficina de Comisionados de Información (ICO) deben contratar a un responsable de protección de datos. Todas las organizaciones deben contar con un RPD que sea plenamente responsable de definir y gestionar los controles sobre la información sensible.

Un mayor riesgo de incumplimiento podría dar lugar a una sanción del 4% de sus ingresos globales o de hasta 20 millones de euros, la cantidad que sea mayor.

Jugar la carta de la ignorancia no funcionará una vez que su empresa haya sido multada por incumplimiento del GDPR.

Si no es un experto en el GDPR, las normas del GDPR pueden ser difíciles de entender y cumplir. El DPO ayuda a su organización a cumplir el Reglamento General de Protección de Datos (RGPD) de la Unión Europea para evitar confusiones de cumplimiento y pérdidas económicas masivas.

Lo que debe saber sobre el responsable de la protección de datos

Por lo general, un responsable de la protección de datos (RPD) es un funcionario corporativo independiente competente para mantener el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea. El RPD es responsable de realizar evaluaciones internas de la privacidad y de supervisar y asesorar sobre todos los temas relacionados con el RGPD. 

Un RPD debe tener acceso directo a la alta dirección, que puede ayudarle a tomar decisiones sobre el tratamiento de la información personal. Los directivos de su empresa tienen una influencia mínima o nula en las actividades, conclusiones y recomendaciones del RPD. 

Si existe un conflicto de intereses, la alta dirección no ejercerá ninguna presión sobre el RPD, del mismo modo que se prohíbe a los responsables de TI asumir la función de RPD en cualquier circunstancia. Tampoco debe designarse como RPD a un ejecutivo de la empresa implicado en un litigio futuro o existente o en una acción reguladora contra la empresa.

Una política de seguridad para toda la organización debe estar bien establecida, ser comunicada y respetada por todos. Es esencial tener en cuenta que cuando se designa a alguien como RPD no significa que esta persona sea enteramente responsable del cumplimiento de la protección de datos. La función del RPD es supervisar las modificaciones necesarias y asegurarse de que todos los empleados conocen la política de protección de datos.

Responsable de protección de datos

Veamos más de cerca la designación del responsable de la protección de datos: puestos de RPD obligatorios y voluntarios, el alcance de sus competencias, su independencia, los conflictos de intereses, la responsabilidad, etc.

A veces se hace referencia a esta función como responsable de la privacidad o responsable de la información. Aunque las funciones y obligaciones para designar a un RPD varían según las jurisdicciones, existen algunos requisitos estándar. Por lo general, las organizaciones más pequeñas o las que solo procesan cantidades limitadas de datos personales no tendrán que nombrar a un RPD, aunque en estos casos se recomienda su designación.

Cuando se requiere el nombramiento de un RPD, suele haber estipulaciones sobre quién puede ser nombrado RPD. El nombramiento de un responsable de la protección de datos se rige generalmente por un conjunto de normas y reglamentos que varían según las zonas geográficas. Sin embargo, los requisitos legislativos para nombrar RPD son cada vez más comunes en todo el mundo, y sus responsabilidades están cada vez mejor definidas.  

En la UE, el RGPD establece que el RPD debe ser designado sobre la base de sus cualificaciones profesionales pertinentes o su amplia experiencia y que la persona sea fácilmente localizable. Además, puede haber requisitos en cuanto a la ubicación del RPD. 

Una vez designado un RPD, muchas jurisdicciones exigen que se faciliten los datos de contacto del RPD a la autoridad de control local. Además, suele ser una obligación legal facilitar los datos de contacto del RPD en las políticas de privacidad o en las notificaciones a los interesados. 

Responsabilidades del responsable de la protección de datos

A los RPD también se les puede encomendar la supervisión general del cumplimiento del RGPD o la realización de previsiones sobre su organización. Para garantizar la eficacia del RPD en el cumplimiento de estas responsabilidades, varias leyes, incluido el GDPR de la UE, estipulan que el RPD debe tener un alto grado de independencia. Lo anterior puede significar, por ejemplo, que un RPD no puede ser sancionado por realizar sus tareas.  

Es responsabilidad del responsable de protección de datos (RPD) proporcionar a las empresas directrices sobre el cumplimiento y la privacidad de los datos e informar de cualquier infracción de la normativa sobre datos. El puesto de RPD requiere conocimientos avanzados del RGPD y de otras leyes pertinentes de protección de datos, incluida la Directiva sobre la privacidad y las comunicaciones electrónicas. En la mayoría de los casos, la principal responsabilidad de un RPD es garantizar el cumplimiento de la legislación de privacidad aplicable en la jurisdicción. Esto puede incluir la supervisión de las solicitudes de datos de los interesados, la asistencia en la protección de datos, las evaluaciones de impacto, la formación de los empleados en materia de seguridad y la cooperación con las autoridades de supervisión.

Algunas leyes establecen además que un RPD debe poder comunicarse con la alta dirección. Otras variaciones en los nombramientos de RPD en todo el mundo incluyen si diferentes organizaciones pueden nombrar al mismo RPD, los requisitos de conflicto de intereses, si un grupo puede ser designado RPD, y las obligaciones relacionadas con el nombramiento de los RPD adjuntos son similares. 

Resumen de cualificaciones del RPD

  • Capacidad para formar al personal en materia de protección de datos.
  • Confianza en sí mismo y profundo conocimiento de los procesos de la organización y del sector.
  • Capacidad para enseñar a grandes grupos de personas y aclarar conceptos complejos.
  • Antecedentes jurídicos. El artículo 37 del RGPD define al responsable de la protección de datos (RPD) como una persona con conocimientos profesionales y comprensión de la legislación y los procedimientos en materia de protección de datos. 
  • Experiencia en seguridad cibernética. Las empresas sujetas al GDPR deben contratar a alguien que se haya ocupado de incidentes de seguridad del mundo real y pueda asesorar sobre evaluaciones de riesgos de seguridad, contramedidas y evaluaciones de impacto de la protección de datos (DPIA). Como regla general, un RPD debe tener experiencia en ciberseguridad.

Externalización de DPO: DPO como servicio

La externalización de la función de RPD es una primera opción obvia para las pequeñas y medianas empresas. Para contratar a un RPD, las empresas deben encontrar a alguien lo suficientemente práctico como para comprender que sus capacidades para la función son menos importantes que su habilidad para negociar soluciones adecuadas en un entorno normativo cada vez más impredecible. El RPD competente y experimentado se abre paso con confianza por el pantano.

Por otra parte, si nombra a un RPD interno, habrá oposición de todos los departamentos con los que el RPD entre en contacto. Tecnología de la Información (TI) percibe el GDPR como una carga innecesaria en sus calendarios de proyectos, mientras que ventas y marketing lo ven como una interferencia irrazonable en la capacidad de ejecución efectiva. A los departamentos de seguridad les preocupa que la nueva norma entre en contradicción directa con las obligaciones reglamentarias que tienen actualmente. El departamento jurídico se rasca la cabeza ante la falta de claridad de la ley.

Dicho esto, el RPD debe estar dispuesto a colaborar con diversos departamentos funcionales. Debe tener el valor de hablar claro, defender sus convicciones y saber cuándo mantener la posición y cuándo transigir. Y lo que es más importante, esta persona debe ser capaz de medir el impacto de las responsabilidades de cumplimiento de su organización en su cuenta de resultados.

10 ventajas del delegado de protección de datos externo

  1. Para cumplir con el GDPR, todos los DPO deben ser recursos independientes para la empresa.
  2. No tiene que invertir en educar a su DPO porque él o ella tiene un sólido conocimiento del GDPR sobre el papel y en la práctica. 
  3. No se recomienda asignar la función de RPD al máximo responsable informático o de seguridad de la empresa, ya que el RPD estará obligado a proporcionar información sincera sobre los sistemas informáticos y de seguridad de la empresa.
  4. El DPO externo experimentado está familiarizado tanto con la esencia del GDPR como con sus interpretaciones. Puede analizar sofisticados requisitos normativos y ofrecer valiosas perspectivas y recomendaciones prácticas.
  5. El RPD debe conocer a fondo tanto el texto como la aplicación práctica del RGPD y otras leyes de privacidad, ciberseguridad y gestión de riesgos.
  6. Un RPD externo es un experto en los ámbitos de la protección de datos y la privacidad de los datos, que proporciona asesoramiento y orientación objetivos. Gracias a su profundo conocimiento de la organización y de los datos que maneja, puede ayudar a los clientes a mantenerse al día de los riesgos actuales para la organización y garantizar el cumplimiento del RGPD.
  7. Es mucho más sencillo sustituir a un consultor que a un empleado si no estás contento e insatisfecho con un servicio de RPD.
  8. Un RPD externalizado puede tener una visión más sólida de cómo otras empresas están aplicando las soluciones del RGPD.
  9. No hay conflictos de intereses con los consultores externos de privacidad de datos.
  10. El beneficio oculto de la mayor transparencia de los datos resultante del cumplimiento del RGPD es su mayor capacidad para tomar decisiones empresariales con conocimiento de causa. 

DPO como servicio de CISO AG 

En algunas circunstancias, el Reglamento General de Protección de Datos (RGPD) obliga al responsable o al encargado del tratamiento a designar un RPD (responsable de la protección de datos). Los requisitos relacionados con el GDPR no siempre son prominentes y fáciles de aplicar en sus operaciones cotidianas. La función de DPO también requiere un amplio conocimiento del ámbito de la protección de datos y una comprensión profunda de la industria de la organización.

DPO as a Service de CISO AG se ofrece a organizaciones de todos los tamaños interesadas en obtener una orientación estructurada y práctica basada en nuestra experiencia global en GDPR, privacidad y protección de datos.

CISO AG ofrece DPO como paquete de servicios. Asumimos la función de DPO externo. Nuestro equipo de expertos en derecho, ciberseguridad, gestión de riesgos y privacidad de datos asesora a su organización y ayuda a implementar y supervisar continuamente todas las posturas de cumplimiento. CISO AG tiene todas las licencias y certificaciones para el cumplimiento del GDPR y la implementación de la protección de datos.

Abarcamos una amplia gama de conocimientos y mejores prácticas pertinentes sobre el RGPD. Le proporcionaremos los materiales necesarios, procedimientos bien definidos y documentos. He aquí un resumen de la experiencia y los resultados que CISO AG pone sobre la mesa.

  • Informar y asesorar sobre las directrices de la legislación en materia de privacidad
  • Asesoramiento sobre la elaboración y actualización de procedimientos y políticas
  • Apoyo en la realización de EIPD (evaluaciones de impacto sobre la protección de datos)
  • Coordinar y actuar como punto de contacto para la autoridad supervisora
  • Confianza en las operaciones relacionadas con la protección de datos, como las solicitudes de los interesados, las violaciones de datos personales, etc.
  • Supervisar el cumplimiento de la normativa y hacer un seguimiento de los controles existentes.

Sus objetivos de cumplimiento del GDPRy entregables del CISO AG

Directrices legislativas sobre protección de datos

  • Informar y asesorar al responsable del tratamiento, al encargado del tratamiento o a los empleados sobre cualquier cuestión relacionada con el RGPD.
  • Organizar talleres de concienciación sobre protección de datos y formación de los empleados. 
  • Implantar principios y conceptos centrales de protección de datos en su organización.
  • PIMS. Establecer un Sistema de Gestión de la Información Personal (PIMS), de acuerdo con la norma ISO 27701 / BS 10012.

Asistencia en la realización de EIPD (evaluaciones de impacto sobre la protección de datos)

  • Recopilar y examinar la documentación actual.
  • Asesoramiento en el diseño y revisión de políticas y procedimientos
  • Apoyo a los procedimientos relacionados con la protección de datos
  • Organizar talleres con las partes interesadas para revisar los procedimientos y/o políticas e identificar los que deben crearse o actualizarse.
  • Participar en seminarios adaptados para resolver los problemas pendientes e identificar las nuevas necesidades de apoyo a la protección de datos.
  • Evaluar los procedimientos actuales de protección de datos y formular recomendaciones de mejora.
  • Servir de punto de contacto para las autoridades de supervisión

Marco de gestión de riesgos (supervisar el cumplimiento y los controles existentes)

  • Organizar reuniones con las partes interesadas más importantes para comprender mejor las diversas situaciones empresariales existentes.
  • Establezca procedimientos para comprobar periódicamente el cumplimiento de la normativa sobre protección de datos.
  • Proporcionar consejos prácticos basados en escenarios empresariales reales y en amplias experiencias.
  • Proporcionar herramientas, plantillas, mejores prácticas, pasos y consejos para establecer e implementar la gobernanza del GDPR dentro de su organización.
  • Asesorar y diseñar soluciones prácticas para las transferencias de datos personales: a terceros países, a terceros y a la nube, etc. Transferencias transfronterizas de datos: opciones y soluciones. Garantizar el cumplimiento en las transferencias internacionales de datos.
  • Asesoramiento sobre protección de activos de información, cifrado y anonimato, prevención de fugas de datos, minimización de vulnerabilidades de hardware blando y duro, y evaluación de soluciones y tecnologías de privacidad.
  • La DPIA (evaluación del impacto de la protección de datos) tiene en cuenta los siguientes factores: necesidad, tiempo, procedimientos, colaboración interna/externa, flujos de trabajo, riesgos jurídicos, aprobaciones y comunicación.
  • Auditorías y supervisión periódicas de la privacidad de los datos: e-discovery, seguridad de los datos; ciberseguridad; privacidad desde el diseño; evaluación del impacto sobre la privacidad; auditoría de protección de datos, seguimiento de actividades.
  • Formación para empleados sobre protección de datos
  • Tramitación práctica de solicitudes y reclamaciones
  • Caso real de violación de datos y plan de respuesta a incidencias
  • Proporcionar un conjunto completo de documentos estándar y ejemplos para demostrar el cumplimiento de la RGPD, incluidos certificados.