Tag Archives: Ciberseguridad

Mar 28 ,2019 | No hay comentarios

Entrevista a Jes煤s Galindo, CEO de Safe-T Data, y profesor de la especialidad Fundamentos de la Ciberseguridad

驴Por qu茅 resulta tan apremiante que las empresas incorporen a un Data Protection Officer (DPO)?

En mayo de 2018 ser谩 de obligado cumplimiento una directiva europea que obliga a las empresas de un cierto tama帽o que manejan datos sensibles de clientes o empleados a tener un DPO. Este nuevo puesto no tiene porqu茅 estar en plantilla, las empresas pueden contratar estos servicios que se vuelven obligatorios a partir del a帽o que viene.

驴Qu茅 perfil y qu茅 funciones asume un DPO?

Como su nombre indica, su principal funci贸n es la protecci贸n de datos. Adem谩s, tiene que saber qu茅 hacer con esos datos, c贸mo se protegen y conocer a la perfecci贸n la legislaci贸n, la directiva europea. A partir de ah铆, las labores son muy amplias, es un perfil muy 芦cross禄, su funci贸n no es espec铆fica de un solo departamento.

Ante una brecha de seguridad donde se pueden robar datos, tiene que poner en marcha procedimientos . En este caso, debe comunicarlo a las autoridades pertinentes y a los implicados. Esto antes no se hac铆a, pasaba todo lo contrario, se ocultaba. Ahora la mentalidad ha cambiado y empresas como Google que han sufrido ataques lo hacen p煤blico al mercado por los riesgos que tiene y por las responsabilidades que puedan tener.

Estamos asistiendo a ciberataques y hackeos que son cada vez m谩s sofisticados. 驴C贸mo pueden protegerse las empresas?

La protecci贸n absoluta no existe, es un tema de riesgo. En cualquier organizaci贸n existe la posibilidad de que te entren. Hay dos tipos de organizaciones: las que les han entrado y las que todav铆a no lo saben. El tiempo medio de detecci贸n de una intrusi贸n es alrededor de unos 200-300 d铆as. Hay una empresa, Equifax, que guardaba datos financieros de sus clientes y de la seguridad social, datos de transacciones financieras, pr茅stamos que hab铆an pedido las personas… todo esto fue robado. Hicieron p煤blica esta brecha de seguridad en mayo de este a帽o y hasta finales de julio no se dieron cuenta de la magnitud. Los datos de estas personas est谩n a la venta en internet al mejor postor. Las personas est谩n pidiendo indemnizaciones y han pegado un baj贸n enorme en bolsa.

驴Considera que las empresas espa帽olas est谩n concienciadas con respecto a la importancia de la protecci贸n de datos?

Las empresas espa帽olas se han callado las cosas, muy pocas han hecho p煤blica las situaciones de riesgo. Es por un tema de imagen y reputaci贸n. Muchas veces los t茅cnicos no han dicho nada para que no llegue a niveles ejecutivos. Ha pasado mucho.

Quien no respete esta protecci贸n de datos se expone a una sanci贸n que puede llegar a los 20 millones de euros o un porcentaje muy alto de la facturaci贸n de las empresas. Por la cuenta que las trae, tienen que declarar una brecha de seguridad. El que tu tengas esta brecha no quiere decir que te vayan a sancionar. Si t煤 lo anuncias y tus procedimientos han sido adecuados, has tomado las medidas proporcionales de seguridad, has formado a tus empleados, no te van a sancionar. Si tienes un plan de reacci贸n ante una brecha de seguridad y sabes qu茅 riesgo tienen tus clientes, has hecho bien tu trabajo y te has protegido.

驴La figura del DPO es correctiva o preventiva?

El DPO tiene que poner orden en la parte t茅cnica de ciberseguridad pero asegurarse que el resto de departamentos funciona acorde a ello y formar a los empleados. Este perfil tiene que tomar medidas preventivas, monitorizar que es lo que est谩 pasando, vigilar la compa帽铆a, detectar anomal铆as y mejorar el proceso donde las medidas no son est谩ticas. Tiene que estar al d铆a de las actualizaciones y sistemas. El caso de WannaCry que tir贸 por la borda el sistema de seguridad ingl茅s fue un problema de actualizaci贸n. Es muy importante tener un plan de acci贸n cuando se sufre un ciberataque para reaccionar a tiempo y revertir el da帽o lo antes posible.