El art. 32 del nuevo Reglamento General de Protección de Datos (RGPD) indica que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Sobre las medidas técnicas se ha dicho y escrito mucho, sin embargo, muy poco sobre las medidas organizativas. Las medidas organizativas son aquellas que afectan a la estructura y a la toma de decisiones para garantizar la reducción del riesgo de incumplimiento del RGPD, demostrando la efectividad de la gestión de la protección de datos.
En el nuevo reglamento, al dejar toda la responsabilidad en manos de las organizaciones, surge la necesidad de una adecuada gestión de los recursos humanos, en consecuencia, se debe tomar conciencia que la protección proactiva de los datos va más allá de modificar los contratos tipo con los proveedores o clientes; y que implica a toda la organización, desde el presidente hasta el recepcionista, pasando por el técnico de sistemas o de recursos humanos. Y en muchos casos, también hay que tener en cuenta terceras partes interesadas, como, por ejemplo, proveedores de servicios subcontratados (mantenimiento, transportistas, etc.) o los accionistas. Por esto, se hace indispensable la adecuada gestión de las personas a través de la concienciación y formación de todo el personal, así como una correcta comunicación que, para que sea efectiva, ha de ser bidireccional.
Las medidas organizativas se despliegan en las políticas de seguridad y en las normativas para los empleados y usuarios de los sistemas de información (buen uso del email y de internet, política de escritorio limpio, etc..); y éstas se afianzan y formalizan en el comité de seguridad que revisa y toma decisiones (nombramiento del DPO y otros roles en materia de protección de datos) para mitigar los riesgos a los que están sometidos los sistemas de información, y se sistematizan en los procedimientos y procesos que recogen el conocimiento sobre el buen hacer en la compañía.
Todas estas medidas que se aterrizan con la implicación de la alta dirección, tienen un único hilo conductor, a través de la correcta gestión de las personas en todo su ciclo de vida, que va desde el proceso de selección hasta la salida de la compañía, pasando por la formación y concienciación en la protección de los datos que tratan en el desempeño de sus funciones del día a día. Además, hay aspectos que se deben tener en cuenta como la identificación de necesidades, verificar la eficiencia de la formación, asegurándose que los empleados están adecuadamente entrenados para atender sus obligaciones en materia de protección de datos; velando por la confidencialidad, disponibilidad e integridad de los mismos y siendo diligentes en la gestión de incidentes y planes de continuidad ante una posible brecha de seguridad.
Los programas de concienciación y sensibilización deben llevarse a todos los niveles de la organización y poniendo el foco en cada perfil desempeñado dentro de la misma. Por ejemplo, el director general accede a información que trata de una manera distinta que el informático que desarrolla el sistema de información. Por esto, hay que tener en cuenta el entorno en el que se desenvuelve el empleado, a qué información accede, a qué riesgos está expuesto, su interacción con terceras partes, etc. Y, preparar en consecuencia un programa de formación a medida.
La implicación de la alta dirección es clave para el éxito de las medidas organizativas. La coherencia en la actuación y desempeño de las funciones de seguridad de la alta dirección (CEO, Director General, Directores de Área) se refleja muy bien en el dicho popular “hay que predicar con el ejemplo”; es decir, el CEO y alta dirección deben implicarse en la implantación de las medidas organizativas y demostrar con su actitud y buenas prácticas, su implicación en los programas de protección de datos de la organización.
La consecuencia de una falta de gestión en materia de recursos humanos puede dar lugar a la relajación de las personas en el desempeño de sus funciones, provocando negligencia en el tratamiento de los datos y de la información, que se traduce en una pérdida de conocimiento; incluso en una fuga de datos o pérdida de información valiosa de la compañía, pudiendo caer en manos de la competencia o terceras partes mal intencionadas.
Por lo expuesto anteriormente, el eslabón más débil de la cadena de seguridad sigue siendo las personas y, mientras esta realidad exista tenemos que seguir invirtiendo en la gestión del conocimiento y en los interesados que forman parte de las organizaciones.
En la medida que se entienda que la piedra angular del éxito en la implantación de las medidas organizativas está en la adecuada gestión de las personas, la protección de los datos dejará de ser un quebradero de cabeza y pasará a incorporarse en el ADN de las compañías; llegando a formar parte de su cultura organizacional.
Como alternativas para afrontar un conjunto integral de medidas organizativas que ayudaría a mejorar la seguridad de la información y la privacidad, cabe mencionar la implantación del marco de gestión de la ISO/IEC 27001 en materia de seguridad de la información o el Esquema Nacional de Seguridad (ENS); donde se proponen, entre otras, medidas para establecer un liderazgo efectivo (a través del compromiso de la alta dirección y de la política de seguridad), pautas para conseguir una adecuada gestión de los recursos humanos, en términos de competencia, concienciación, comunicación, y control de la información; así como la implementación de un sistema de apreciación de riesgos basado en los controles de la ISO/IEC 27002 y otras guías, que ayudarán a identificar y controlar los riegos que amenazan la seguridad de los datos personales y de la información que se trata en la organización; como por ejemplo; los controles que se realizan previos a la contratación del personal, como la investigación de antecedentes y de capacidades de los candidatos, una correcta protección de la información acorde con el esquema de clasificación adoptado por la organización, el control de accesos que determine quién accede a qué tipo de información en función de los datos a tratar. Otros controles a tener en cuenta serían la seguridad física y del entorno, de las operaciones y una gestión de incidentes eficaz que permita recuperar el funcionamiento de la organización con el menor impacto posible.
Manuela Ramírez
GRC Department
Áudea Seguridad de la Información