Home

Algunas empresas que nos han elegido

Privacy Officer y Privacy Consultant
Esquema CDP según ISO/IEC 17024:2012
European Privacy Auditor
Esquema de certificación ISDP©10003 según ISO/IEC 17065:2012
Auditor
Según la norma UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Según la norma ISO/IEC 17024:2012
Delegado de Protección de Datos
Según la norma ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Según la norma ISO/IEC 17024:2012
ICT Security Manager
Según la norma UNI 11506:2017
IT Service Management (ITSM)
Según la Fundación ITIL
Ethical Hacker (CEH)
Según EC-Council
Network Defender (CND)
Según EC-Council
Computer Hacking Forensics Investigator (CHFI)
Según EC-Council
Penetration Testing Professional (CPENT)
Según EC-Council

Cualificaciones profesionales

¡Manténgase al día de la actualidad mundial!

Seleccionar los temas que le interesan:

News

Inicio / News
/
Experiencias en el campo de un DPO: Administrador de sistema en era de GDPR.

Experiencias en el campo de un DPO: Administrador de sistema en era de GDPR.

En el complejo retículo de figuras y autorizaciones que una buena actitud de protección de datos prevé, un sitio importante es reservado a la figura del Administrador del Sistema. Esta figura, deja bien encuadrada desde un Procedimiento de la Autoridad de Protección de Datos el 27 noviembre 2008, necesidad sin duda de nueva interpretación dado el gran aumento de importancia de la función IT dentro de las empresas, pero también a la luz de la necesaria integración con el surgido GDPR. 

Es importante subrayar que el procedimiento es hoy plenamente válido y aplicable, a diferencia de cuanto se considera desde muchos responsables del tratamiento, que lo asocian a otros requisitos delegados, como por ejemplo el Documento Programático de Seguridad (DPS) en vigor hasta el 2012. 

El Responsable, en una visión de accountability tendría que poner particular atención al tema ADS, dado el papel particularmente delicado que el mismo cubre y el potencial acceso a cada tipología de datos incluida en los sistemas empresariales. Este papel frecuentemente se cruza con los aspectos de seguridad de los datos, y en las empresas más estructuradas llega hasta los términos de cybersecurity. 

Desde la experiencia de Data Protection Officer (Delegado de Protección de Datos) veamos cómo interpretan las empresas este papel desde un punto de vista formal, y cuales son las principales criticidades que el delegado encuentra. 

Frecuentemente, también en realidades estructuradas y complejas, se tiende a externalizar la gobernanza de la área IT a personas externas. 

Solitamente las empresas se inclinan a volver presentar a consulentes IT y empresas de informáticas y sistemas, la misma nómina de ADS de propiedad hasta poco tiempo antes del responsable de la área IT. 

En algunos casos, de más fácil interpretación, se trata de una nómina propuesta a un profesional independiente, pero no siempre personalizada y acompañada desde una adecuada contractualista. Raramente se revela una evaluación escrita del sujeto designado en base a las competencias y a la experiencia progresa. Aún más raro, encontrar pista de audit anual a ADS cómo previsto desde la normativa. 

Diferente pero no menos rico de trampas, el caso en el cual la nómina ha sido propuesta a la agencia proveedora de servicios IT, quizas en cooperación a una nómina de Encargado ex artículo 28 del GDPR. En algunos casos, es frecuente encontrar nóminas de administradores de sistema dirigidas a empleados de la empresa nominada como Encargado. Una situación que deja más de una duda también en virtud de las responsabilidades que el empleado de la sociedad externa asumiría a título personal en frente a la sociedad cliente. 

En algunos casos se ha revelado que los sujetos nombrados como ADS, tienen acceso a los sistemas del cliente con un único account compartido, convirtiendo cada posibilidad de acceso a los tracking inutil. Realmente difícil en un marco de este tipo pensar de poder redirigir evaluaciones periódicas acuradas y poder empezar actividades de audit, también en este caso, casi nunca reveladas. 

Último, pero no menos importante el caso en el cual el administrador de sistemas es una figura interna, con una colocación precisa en el organigrama empresarial. En este caso es fundamental una nómina circunstanciada, que pueda formalizar los papeles asignados y las delegaciones en cargo y lleve precisas instrucciones. 

Emblemático es el caso, que frecuentemente se revela, en el cual somos nombrados como ADS, todos o casi los sujetos de área IT de una empresa sin alguna diferenciación de la nómina sub escrita.

En este caso el riesgo de interdeterminación a nivel de responsabilidad es alto. 

En algunos casos estratégicos, trágicos, a la nómina de administrador de sistema interno se encuentra aquella de delegado de protección de datos, quizás temporalmente, en claro conflicto con las direcciones del Reglamento Europeo y la Autoridad de Protección de Datos. 

La sistemática falta de aplicaciones de estas direcciones pone un riesgo de relegar el Responsable del tratamiento en una posición de alto riesgo y de ponerlo en la situación de no haber podido evaluar de manera correcta la adecuación y la conformidad de los propios sistemas. 

Es evidente que para poder recordar de forma mejor el tema AsS con la compliance GDPR, tenemos que recurrir a una de las frases más frecuentes en ámbito de protección de datos: la analisi del contexto. 

Una buena conciencia de la realidad y de los flujos normativos permite al DPO de evaluar conjuntamente con el Responsable del tratamiento el marco formal de AdS.

El Dpo debe entonces supervisar el trabajo, haciendo participar a la AdS en sus reuniones periódicas e informando al Propietario de cualquier anomalía encontrada. ¿Y cuáles podrían ser algunos puntos de atención de una posible «vigilancia» sobre estos temas?

– Diligencia en la gestión de los permisos, con especial referencia a la rápida desactivación de las cuentas referentes a las personas que ya no están al servicio de la empresa.

– Diligencia en la verificación/aplicación de parches de seguridad a los sistemas de la empresa y posibles soluciones de nube.

– Diligencia en la verificación del uso correcto de los sistemas informáticos por parte del personal, diálogo con el consultor de privacidad para la actualización periódica de los reglamentos informáticos.

– Diligencia en la verificación periódica del funcionamiento del equipo de reserva y la certificación de las pruebas de recuperación de datos.

– Diligencia en la comprobación periódica de los registros generados por los sistemas a fin de poner de relieve con prontitud el abuso y los incidentes informáticos. En consecuencia, rapidez en la notificación de cualquier situación de riesgo al propietario y, aún más, extrema rapidez en la notificación de incidentes informáticos. Es necesario colaborar para su clasificación e intervención rápida para remediar cualquier fuga.

Es precisamente este último punto el que presta su apoyo a otra cuestión delicada: el almacenamiento de los registros de la AdS previsto por la misma medida indicada al principio. Se trata de una cuestión que a menudo se ignora o se confunde con la conservación de otros tipos de troncos que la empresa presuntamente guarda para otros fines.

Vale la pena recordar, como también me pasó a mí, que esos registros se solicitan a menudo durante las inspecciones o como complemento de las actividades de investigación después de la filtración de datos.

A menudo se pregunta si la Autoridad de Protección de Datos pondrá su mano en la figura del Administrador del Sistema, proponiendo una más moderna y alineada con el GPDR. Por el momento, la solución, a fin de satisfacer al máximo la normativa y las prácticas en vigor, es la de hacer valer uno de los conceptos clave del Reglamento Europeo, ya elevado al rango de mantra: la responsabilidad.

FUENTE: FEDERPRIVACY

Recomendados para ti

Búsqueda avanzada