Por qué los DPO y los CISO deben trabajar juntos de cerca



Las recientes leyes de protección de datos significan que el oficial de protección de datos y CISO deben trabajar en conjunto para asegurarse de que los datos de los usuarios estén protegidos.

Con leyes estrictas de protección de datos en todo el mundo (incluyendo GDPR y CCPA), es vital que el oficial de protección de datos (DPO) y CISO trabajen en estrecha colaboración. Aunque parte del trabajo del DPO es auditar las políticas de seguridad del CISO, es esencial que el DPO y el CISO tengan una buena relación. Esencialmente, los CISO se preocupan por la seguridad y los datos confidenciales, y los DPO se centran en la privacidad y los datos personales.

El CISO examina los problemas de seguridad desde el punto de vista comercial y de operaciones. Mientras refuerza la postura de seguridad cibernética de una organización, el CISO se esfuerza por garantizar que toda la información de la empresa se procese de forma segura. El DPO se ocupa principalmente de cómo la organización maneja los datos personales. Esto puede incluir la minimización de datos, la comunicación con los interesados, la gestión de derechos, la minimización del almacenamiento, la recopilación de datos y el procesamiento de datos.

Minimización de datos
Uno de los principales objetivos del DPO es garantizar que no se procesen datos innecesarios del cliente. Si se procesa algún dato personal, no debe conservarse más allá de una determinada fecha (según el compromiso mencionado en la política de privacidad), y los clientes deben ser informados sobre la naturaleza del procesamiento de datos.

La minimización de datos implica almacenar menos datos personales, lo que reduce la superficie de ataque standard. Esto es importante cuando se trata de la colaboración entre el DPO y el CISO. Con el DPO ayudando a minimizar la cantidad de datos recopilados, el CISO puede mantener un mayor nivel de seguridad.

Por ejemplo, tal vez su organización emite un formulario de registro que solicita una dirección de correo electrónico, número de teléfono y número de Seguro Social. El CISO se ocupará principalmente de cómo se protegen los datos. Por el contrario, es possible que el DPO haga preguntas como, «¿Por qué estamos recopilando esta información?» y «¿Necesitamos procesar (almacenar, usar o transferir) estos datos?» Al hacer preguntas como estas, el DPO ayuda al equipo de seguridad del CISO a proteger de manera efectiva y proactiva los datos.

Crear un registro de actividad
En las organizaciones digitales modernas, hay muchos flujos de datos provenientes de una variedad de fuentes diferentes. Al crear un registro, el DPO puede ayudar al CISO a monitorear los diversos flujos de datos. Un registro de actividad efectivo responderá preguntas como «¿Dónde se está utilizando exactamente esta información?», «¿Quién la está utilizando?» Y «¿A quién se están transfiriendo estos datos?» Una vez más, el CISO está interesado en esta información desde el punto de vista de la seguridad, y el DPO tiene problemas de privacidad.

Durante la creación de un registro de actividad, evalúe si los datos son de naturaleza personal. A veces, si los datos son personales depende del contexto. Por ejemplo, tal vez un cliente solo proporciona a una empresa la dirección de su domicilio. Si esta dirección particular puede rastrearse hasta el individuo, entonces son datos personales. Debido a matices como estos, es útil tener un DPO con antecedentes legales.

Protección de datos por diseño
Otra forma en que DPO y CISO pueden trabajar juntos de manera efectiva es durante el inicio del producto. Al trabajar en estrecha colaboración con los desarrolladores de una organización, el DPO y el CISO pueden incorporar de manera proactiva la protección de datos en los productos de la compañía.

Por ejemplo, durante la creación de cookies esenciales y no esenciales, el CISO tendrá preocupaciones relacionadas con vulnerabilidades de seguridad, y el DPO tendrá preocupaciones de privacidad. Desde una perspectiva de seguridad, el CISO quiere asegurarse de que las cookies esenciales, aquellas utilizadas para rastrear sesiones iniciadas y proporcionar funcionalidad relacionada con el usuario, estén protegidas. De esta manera, no puede suplantarse.

Y desde una perspectiva de privacidad, el DPO estará preocupado por las cookies no esenciales, como las cookies publicitarias utilizadas para mostrar anuncios. El DPO debe asegurarse de que la lista de cookies se muestre a los usuarios del sitio internet, y que los usuarios puedan optar por no usar algunas cookies sin degradar significativamente el rendimiento del sitio website.

Por lo tanto, una estrecha colaboración entre el CISO y el DPO durante el proceso de creación de cookies puede ser efectiva tanto desde el punto de vista de la privacidad como de la seguridad.

Manejo de infracciones y violaciones de privacidad
Otra instancia en la que los DPO y CISO deberían trabajar en estrecha colaboración es en el caso de una violación de datos o una violación de la privacidad. Por cierto, estos son a menudo eventos dispares. Por ejemplo, tal vez un cliente recibe un formulario de contacto y el número de teléfono se united states más tarde para venderle un producto. Si no hubiera un enlace a la política de privacidad en el formulario de contacto, esto sería una violación de la privacidad, pero no una violación. Alternativamente, tal vez hubo una violación de datos sin embargo, solo el código fuente fue robado. Esto sería una violación de datos pero no una violación de privacidad.

Sin embargo, para evaluar la situación, el DPO y el CISO deberían colaborar estrechamente. Esto es especialmente importante durante una infracción, ya que pueden producirse multas si la empresa no alerta a las autoridades sobre un incidente a tiempo.

Evaluaciones de impacto
Después de una violación, las organizaciones deben realizar una evaluación de riesgos durante la cual el DPO funciona en una función de asesoramiento. Además de auditar la infraestructura de seguridad existente del CISO, el DPO debería ofrecer consejos para el futuro. Con la ayuda del CISO, el DPO puede responder preguntas como «¿Puede suceder un incidente como este en otro lugar?», «¿Cómo podemos protegernos contra este avance?» Y, lo más importante, «¿Deberíamos recopilar estos datos personales en ¿todos?»

Conclusión
Al trabajar estrechamente, el DPO puede ayudar al CISO a proteger los datos de manera más eficiente al recopilar solo los datos más necesarios y mantener a los clientes bien informados sobre la transferencia y el uso de los datos. Con el DPO y el CISO trabajando juntos, la transferencia de datos de un lugar a otro se puede transmitir de forma segura y lawful, lo que lower en gran medida la posibilidad de una violación de la seguridad y, en última instancia, ayuda a la organización a ahorrar tiempo y dinero.

Contenido relacionado:

Rajesh Ganesan es vicepresidente de ManageEngine, la división de gestión de TI de Zoho Corporation. Rajesh ha estado con Zoho Corp. durante más de 20 años desarrollando productos de software package en varias verticales, incluidas las telecomunicaciones, la gestión de redes y la seguridad informática. He has … Ver biografía completa

Más concepts





Enlace a la noticia original