[27/04/2020] Desde la introducción de la legislación GDPR de la Unión Europea, el papel del Oficial de Protección de Datos (DPO, por sus siglas en inglés) ha explotado dentro de las empresas en Europa y en todo el mundo. En un par de años, el papel ha pasado de ser nicho a ser algo común. La Asociación Internacional de Profesionales de la Privacidad (IAPP, por sus siglas en inglés) estima que hay unos 500 mil DPO solo en Europa, la mayoría de los cuales reportan directamente al directorio. Según el IAPP-EY Governance Report 2019, alrededor del 72% de las organizaciones de la Unión Europea y de Estados Unidos tiene al menos un DPO, y el 18% supuestamente tiene más de uno.
Si bien sus roles se superponen con los objetivos del CISO, no son lo mismo. Los CISO deben colaborar y trabajar estrechamente con los DPO en beneficio de ambos puestos.
Cómo difieren los DPO y los CISO
Mientras que los CISO protegen la organización y sus datos, los DPO tienen la tarea principal de proteger los intereses de los dueños de los datos. La UE ha expresado que no debe haber conflicto de intereses entre los deberes del DPO y sus otros deberes. En caso de una irrupción, por ejemplo, las dos lealtades pueden entrar en conflicto si existe la obligación de notificar una irrupción que la empresa prefiere no cumplir.
"Las funciones del CSO y el DPO siempre han estado muy separadas”, afirmó Andreas Klug, director de privacidad de QVC Ladbrokes Coral, durante la conferencia PrivSec en Londres. "Es una educación diferente. El DPO tiende a ser un profesional legal o de cumplimiento que se utiliza para interpretar y aplicar leyes en un ambiente organizacional, mientras que el CISO tiende a ser más versado en tecnología, generalmente tiene experiencia en TI y usa tecnología para mantener seguros a los datos y la empresa”.
"Todos se ocupan de los datos, pero siempre se encuentran en varias partes del negocio y están sujetos a diferentes presupuestos, a diferentes líneas de informes”, continuó Klug. "Si tiene diferentes personas en diferentes partes de una organización, una organización grande en particular, existen otros que influyen en esa relación y que a menudo no tienen nada que ver con la protección de los datos y la privacidad, sino que son puramente corporativos”.
Así lidere o no la privacidad, la GDPR requiere que el DPO tenga una línea de reporte con los más altos niveles de gestión. Incluso dentro de las organizaciones donde el DPO no es el líder de la privacidad, el 20% de los DPO aún reportan directamente al directorio. El estudio de IAPP muestra que las líneas de informes para las OPD generalmente se dividen entre el asesor general (25%), el CEO (23%) o el chief complicance officer (22%), y rara vez el CISO o CIO/CTO, aunque una sola persona tiene los roles de CISO y DPO en alrededor del 10% de las organizaciones.
Si bien cada vez es más común que los CISO reporten directamente al directorio, todavía no es la norma en el Reino Unido. Según las encuestas realizadas por CSO UK y CIO, su sitio hermano, el 65% de los CISO del Reino Unido, o equivalentes, reportan al CIO, el 2% al CFO y solo el 12% de los CISO son iguales al CIO.
Los DPO tienden a mirar horizontalmente en la escalera corporativa en la posición CISO. En el 39% de los casos, los clientes potenciales de privacidad están en el nivel equivalente dentro de la empresa, y están debajo de un CSO en el 24% de las organizaciones. Solo en el 9% de las empresas, el DPO es la posición principal.
Cómo deberían trabajar los CISO con los DPO
Según Zscaler, el 80% de los datos relacionados con la GDPR no están bajo el control de los CISO, por lo que, si quieren protegerlos de posibles amenazas, les conviene trabajar con el DPO, quién es más probable que tenga una mano directa para ayudar a proteger esos datos. "En realidad, son las partes menos técnicas donde los CSO fallan con mayor frecuencia”, afirmó Greg Van Der Gaast, jefe de seguridad de la información en la Universidad de Salford durante la charla de PrivSec. Los DPO tienden a ser mejores en la construcción de relaciones y tienen más visibilidad en la organización. "¿Quién está haciendo qué con qué? ¿Qué necesito proteger? Eso es algo que un DPO puede reconocer más fácilmente”, afirmó.
Katia Zavershinskaya, DPO en el Arsenal Football Club, estuvo de acuerdo con Van Der Gaast, y agregó que toda la preparación en el período previo a la GDPR brinda a los DPO el conocimiento que pueden compartir con los CISO, y agregó que la visibilidad del DPO en el negocio, debido a esa preparación, puede ser usado por ambos roles. Esa preparación incluye hacer auditorías iniciales y hablar con los equipos sobre qué datos almacenan y dónde. "La colaboración entre la seguridad y un DPO es realmente importante, porque es más probable que el DPO conozca el lado comercial y los datos que poseen los diferentes equipos y áreas dentro del negocio”, afirmó. "La visibilidad es realmente importante; la empresa sabe quién es usted y, en caso de una irrupción en los datos, los DPO saben a dónde ir”.
Así como los DPO pueden ayudar a los CISO a difundir mejor el mensaje de seguridad en el negocio, los CISO pueden ayudar a los DPO a comprender mejor qué implica proteger los datos más allá de las buenas prácticas de privacidad. Dado que muchos DPO provienen de un ambiente legal o de la privacidad, los CISO pueden ayudar a enseñarles cómo son las buenas y malas prácticas de seguridad.
"Sería conveniente que el DPO entienda si la seguridad de la información está funcionando lo suficientemente bien”, afirmó Van Der Gaast. "Uno necesita tener esa superposición y conciencia para realmente hacer que exista interacción. Debe saber al menos lo suficiente sobre el tema para decir: 'Oye, esto no me parece del todo correcto. ¿Puedes venir y echar un vistazo?'”.
Al alinearse mejor, la privacidad y la seguridad pueden formar un frente unido para impulsar mejor el cambio en el negocio, la DPO de TomTom, Cassandra Moons, afirma a CSO, ya que ambas son partes interesadas clave en proyectos que involucran datos y deberán alinearse para abordar aspectos de operaciones y gobernanza. "Como privacidad y seguridad, primero debemos escuchar y comprender cómo las partes interesadas de nuestra empresa han organizado su trabajo diario y cómo operan antes de que podamos tener un impacto real al proporcionar una guía pragmática clara que satisfaga las regulaciones”, afirma Moons. "Uno de los objetivos más importantes es asegurarse de que todos en la empresa comprendan la necesidad de privacidad y seguridad para que las personas se sientan responsables cuando manejen datos como parte de su vida laboral diaria. Al final, se trata de responsabilidades compartidas de todos en la empresa, ya que los datos están a nuestro alrededor, en todas partes”.
"Conseguir la aceptación comienza con una buena historia que se queda con su audiencia. Inspire a las personas explicando de manera muy simple de qué se trata la privacidad y la seguridad, y por qué debería importarles a ellos y a la empresa en general. Las personas necesitan ver el valor real de la privacidad y la seguridad antes de creer realmente en ella”, agrega Moons.
El contexto importa con las relaciones CISO-DPO
La privacidad y la seguridad deben trabajar de la mano para desarrollar y mantener una relación fructífera, afirma Moons, pero no hay una respuesta única para describir el proceso ideal entre DPO y CISO, o cómo la seguridad y la privacidad deberían funcionar juntas. "Se necesita una estrecha alineación entre los equipos de privacidad y seguridad para proteger eficazmente los datos y seguir cumpliendo, pero el enfoque correcto depende del tipo de negocio, la cantidad y el tipo de datos que se procesan y el contexto de un caso de negocios específico”.
En TomTom, por ejemplo, la privacidad cae dentro del área legal. Moons afirma que el equipo de privacidad se reúne con frecuencia con el equipo de seguridad sobre asuntos y estrategias en curso. Colaboran en iniciativas como el lanzamiento de nuevos productos, gestión de datos y proyectos de desarrollo para clientes automotrices.
Si bien deberían trabajar en estrecha colaboración, ambos roles deben reconocer cuándo trabajar por separado. Por ejemplo, cuando se trata de capacitación y concientización de los empleados, la capacitación en privacidad cubre mucho más que la seguridad, mientras que la seguridad es más que la privacidad. "La privacidad también se ocupa del concepto de definir datos personales, los derechos de privacidad que tienen las personas y la transparencia de la privacidad”, afirma Moons. "La capacitación en seguridad también cubre el comportamiento que no necesariamente afecta los datos personales, como reconocer los correos de phishing y proteger la información comercial confidencial. En TomTom creemos que el cumplimiento y la práctica de ciberseguridad no son mutuamente excluyentes, y deberían formar la base de todos los programas de educación interna”.
En PrivSec, Zavershinskaya, de Arsenal, afirmó que debe haber una comprensión cercana y que la colaboración es crítica cuando se trata de abastecer y desplegar nuevos sistemas para que la seguridad y la privacidad estén cubiertas desde el principio. "Es realmente importante incluir a la seguridad. [Más] a menudo como DPO, no conozco los requisitos de seguridad, y viceversa, por lo que debe haber suficiente comprensión y conocimiento de cada área para saber en qué momento uno trabaja con el CISO y en qué punto se trabaja con el DPO”.
Del mismo modo, los CISO y los DPO deberían trabajar juntos durante un robo de datos o un incidente similar, pero deberían estar dispuestos a asumir o ceder el liderazgo según el contexto. "Cuando ocurre un incidente, todos quieren subirse al carro para tratar de conducirlo, por lo que es muy importante desde el principio determinar quién lo conduce”, afirmó Zavershinskaya. "Consideraríamos tener una evaluación interna que incluya al DPO, CISO, TI y área legal para determinar cuál es la irrupción, quién la condujo, quién es responsable de esta, sobre quién recae la responsabilidad de la irrupción, quién necesita ser consultado y quién ha sufrido el impacto”.
"En mi experiencia como oficial de protección de datos, me involucraba en irrupciones que afectaban a sus dueños, pero ellos no siempre se veían afectados por estas irrupciones. Si se trata de una irrupción que afecta a los dueños de los datos, el DPO podría estar en condiciones de manejarlo y colaborar con TI, así como trabajar con seguridad, para comprender la irrupción en los datos”.
Zavershinskaya agrega que, dado que la notificación a los dueños de los datos está bajo el mandato del DPO, la colaboración con los CISO es importante para que el DPO sepa a quién informar y qué información compartir con ellos. Posteriormente, el DPO debería trabajar con el CISO para determinar dónde podría haber fallas en el proceso, si otras áreas del negocio podrían verse afectadas y cualquier capacitación potencial que deba aplicarse.
Dan Swinhoe, CSO (EE.UU.)