Mañana3 de marzo se celebrará el XII Foro de la Privacidad, organizado por el Data Privacy Institute de ISMS Forum, donde se presentará una Guía de Buenas Prácticas sobre Auditoría RGPD, cuyo objetivo es construir un documento útil y de interés para las empresas y profesionales que lleven a cabo auditorías periódicas de cumplimiento en esta materia.Recientemente, ISMS Forum ha publicado un “Protocolo de acción frente a incidente en proveedor”, con el objetivo de responder a la necesidad de hacer frente al problema de la gestión de un incidente de seguridad que esté afectando a un proveedor de la entidad en cuestión
El foro contará con la presencia de ponentes de la talla de Mar España, directora de la Agencia Española de Protección de Datos, que hará un balance de su mandato y de los próximos retos de la Agencia Española de Protección de Datos, o Leonardo Cervera, Director, European Data Protection Supervisor, que presentará los retos y oportunidades del nuevo mandato de la Comisión Europea y el Supervisor Europeo de Protección de Datos.
Vivimos en la era de la “fiebre del dato”. Cada día se intercambian cientos de trillones de datos en los mercados que se venden al mejor postor o se filtran a través de brechas de seguridad. Las empresas transfieren parte de sus responsabilidades a terceros para una mejor gestión, lo que conlleva un traspaso de datos que se procesan, tratan y distribuyen en un servidor ajeno. El conocimiento es poder, y la información está cada vez más cotizada en el mercado. Por eso, no es de extrañar que el número de brechas de seguridad se haya incrementado exponencialmente en los últimos años.
Uno de los principales problemas reside en el ‘famoso’ cumplimiento de terceros, una labor que todas las empresas deben tener presente si no quieren enfrentarse a una posible fuga de información. Por su parte, el RGPD se encarga de regular si las organizaciones cumplen con la normativa aplicada a las responsabilidades derivadas a terceros y aquellas que son de la propia empresa. Sin embargo, son las organizaciones las que tienen que tomar el sentido de responsabilidad a la hora de medir y controlar los datos que comparten y las relaciones de colaboración que deciden establecer, identificando previamente cuáles son sus áreas de riesgo, así como los datos más críticos y quiénes tienen acceso a ellos a nivel interno y externo.
Un buen cumplimiento de la normativa RGPD exige una monitorización continua por parte de las organizaciones a sus empresas proveedoras de servicios, estableciendo una línea de trabajo entre organizaciones y terceros, y tomando conciencia de los riesgos que pueden darse y el índice de respuesta a los mismos.El “Protocolo de acción frente a incidente en proveedor” de ISMS FORUM ha sido elaborado por un grupo de responsables de seguridad de la información y continuidad de negocio con el objetivo de responder a la necesidad de hacer frente al problema de la gestión de un incidente de seguridad que esté afectando a un proveedor de la organización. Esta prestación se realiza con acceso a sus instalaciones, a sus redes o sistemas. Cuando el incidente en este proveedor es grave, la gestión del mismo por parte del proveedor involucra a la Entidad, que debe saber cómo actuar ante esta situación. El documento ofrece una guía rápida de recomendaciones de coordinación con el proveedor afectado por el incidente, así como de medidas de monitorización, contención y vuelta a la normalidad en la propia Entidad.