CISO v. CPO

Texto originalmente publicado en el número de noviembre de la Revista SIC

Resumen.

La relación entre Chief Information Security Officer y Chief Privacy Officer parece haber sido históricamente controvertida. Ambos conviven en un territorio particularmente sensible para las organizaciones: la gestión de la información corporativa con el objetivo de garantizar su preservación, seguridad y buen uso. Por otra parte, a medida que profundizamos en la sociedad de la información las cuestiones de privacidad se han situado en un primer plano susceptible de afectar gravemente la reputación corporativa. Al tiempo, asistimos a una intensidad regulatoria creciente en todos los países apoyada en un régimen de infracciones particularmente gravoso extendiendo lo que antes parecía ocurrir sólo en España. Además la futura regulación integrará una cuarta generación de leyes de privacidad, la generación internet, que incluye conceptos como Privacy by Design o Privacy Impact Assessment que exigen una cooperación intensa de ambos perfiles profesionales.

                                                   ______________________________________

 En los últimos años los responsables de seguridad y de privacidad de distintas empresas han adquirido un enorme protagonismo público al menos en medios sectoriales y especializados. Algunos de ellos, los de grandes corporaciones como Google y Microsoft aparecen con cierta frecuencia en medios de comunicación generalistas y se acercan al gran público. De algún modo, los conceptos de privacidad y seguridad van integrándose en el imaginario colectivo de los usuarios de Internet y consolidándose como valores susceptibles de afectar significativamente la reputación empresarial en el corto plazo. Con el tiempo los valores de seguridad y privacidad adquirirán solidez como parte del paquete de prestaciones que todo proveedor de servicios de la sociedad de la información deba incorporar y garantizar. Varios factores apuntan en esta presumible dirección.

En primer lugar cabe referirse a los hechos, a una realidad fáctica que sitúa en primera página a las empresas que se ven afectadas por una quiebra de seguridad o un problema de privacidad. Baste como ejemplo el aluvión de noticias que ha convertido conceptos como ciberguerra, NSA o criptografía en elementos de conversación popular a la hora del café. Así, en materia de privacidad se está cumpliendo un brocardo muy común en el mundo jurídico anglosajón que viene a decir que no se sabe definir que sea la privacidad pero les aseguro que un juez la reconoce en cuanto se la encuentra. Pues bien añadamos a juez, periodista, consumidor, internauta o ciudadano y entenderemos por qué cada vez que una compañía apuesta por el riesgo en este ámbito suele acabar pagando un precio reputacional.

Otro tanto, sucede con las quiebras de seguridad. En un universo Internet profundamente mercantilizado y fundamental para el desarrollo de nuestras economías, la seguridad, entendida en un sentido no ya jurídico sino físico y lógico, posee un valor crucial. Y ello no sólo en su dimensión de confidencialidad, ya aludida al considerar la privacidad, sino también desde el punto de vista de la disponibilidad y de la integridad de la información. Por expresarlo con ejemplos a pie de obra resulta complicado saber que pondrá más nervioso a un cliente, además de que roben los datos de su tarjeta de crédito, si que el servicio este caído o que una alteración errónea de su perfil informativo dé con él en un fichero de morosos o simplemente le impida contratar.

En segundo lugar, la evolución normativa es un factor de primera magnitud para entender el auge de estas figuras tanto desde el punto de vista jurídico como técnico. En España fuimos pioneros en este territorio y ya desde el Real Decreto 994/1999, se definieron objetivos de seguridad en una norma jurídica. La inserción de estas medidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD), sitúa privacidad y seguridad en un contexto de fuerte interrelación al que después nos referiremos.

Esta tendencia a la normativización de la seguridad resulta imparable y ha sido reforzada en el desarrollo por la Unión Europea del llamado Paquete Telecom. Se trata de un conjunto de directivas que rigen el sector de las telecomunicaciones que, entre otras obligaciones, contienen un conjunto de prescripciones ordenadas a gestionar las brechas de seguridad. Así, además de su gestión y documentación, el sector viene obligado a disponer de un modelo de gestión con distintos niveles de publicidad que alcanzan al deber de notificar al regulador, -la Agencia Española de Protección de Datos-, y al cliente final cuando se den circunstancias de gravedad del impacto que así lo aconsejen. En esta tendencia normativa profundiza la Propuesta de la Comisión Europea de Reglamento General de Protección de Datos que propone generalizar este tipo de obligaciones a todos los sectores. Sin embargo, ésta no es una singularidad europea y comienzan a aparecer legislaciones sobre security breaches en diversos estados norteamericanos[1].

Por tanto, y como primera conclusión, puede afirmarse que tanto la realidad social como la normativa empujan a un escenario en el que el responsable de seguridad y el responsable de privacidad adquieren un protagonismo de primer orden, sin demérito del conjunto de profesionales que se insertan en los procesos productivos de las organizaciones públicas y las privadas.

¿Quién es el Chief Privacy officer?

         Si tratásemos de definir esta figura, y también la del responsable de seguridad, desde el punto de vista de los títulos habilitantes para el ejercicio profesional, y sobre todo desde la propia regulación, nuestra respuesta sería sencilla: cualquiera. Más allá de la recogida de la figura del Delegado de Protección de Datos por la Propuesta de Reglamento, no encontrará el lector previsión alguna. Y esto opera ciertamente como un hándicap en la medida en la que si bien no cabe negar que el desarrollo de perfiles profesionales es cada vez más abierto, no lo es menos que resultaría exigible definir un corpus mínimo de conocimiento.

Para ello, es fundamental entender la naturaleza jurídica de la privacidad. Para empezar resulta un concepto de textura abierta que admite diversas acepciones y denominaciones según en qué idioma y en qué país nos encontremos: privacidad, intimidad, protección de datos personales, privacy, vié privée, protection des données, riservatezza… De hecho, y sin ir más allá del Ordenamiento Jurídico español la noción de vida privada se proyecta sobre los derechos al honor, la intimidad personal y familiar, la propia imagen, la inviolabilidad del domicilio, el secreto de las comunicaciones y el derecho fundamental a la protección de datos personales.

Pero la complejidad de la tarea de un experto en privacidad no acaba aquí, además de ser un bien jurídico de naturaleza compleja cada una de sus manifestaciones se proyecta de modo diverso sobre la realidad de las organizaciones. Puede el lector creer que algunos de estos derechos como el relativo a la propia imagen, el secreto de las comunicaciones o la inviolabilidad del domicilio resultan sencillos de entender o tutelar. El que así lo crea debería tratar de responder a algunas aparentemente sencillas preguntas: 1) ¿puedo montar un escaparate virtual que capte imágenes de los transeúntes, edite publicidad de acuerdo con su perfil y las reproduzca en la web de la empresa? 2) Si tengo teletrabajadores, ¿limita en algo su inviolabilidad del domicilio que captemos imágenes con la webcam de su ordenador? ; 3) ¿puedo acceder libremente al correo electrónico de los trabajadores que usan cuentas corporativas? Y si estos mensajes contuvieran informaciones privadas de los remitentes ¿vulneraría algún derecho?, 4) ¿Cómo introduzco políticas de BYOD en mi empresa?, y finalmente si se atreve, 5) defina cuándo existe un interés legítimo para tratar datos personales.

En privacidad, las preguntas y los problemas poseen siempre una mayor profundidad de la esperada. La tarea del responsable de privacidad tiene que ver con el tratamiento de información y éste no se da en un vacío, sino en un contexto y con una finalidad determinados. Por tanto, y en particular en lo relativo al derecho fundamental a la protección de datos personales, la garantía de la privacidad será sectorial y abierta al conjunto del Derecho. Por ello, no basta con manejar la conocida LOPD, habrá tantos perfiles de privacidad como sectores del Derecho y áreas  de actividad. Sin afirmar de modo categórico que el CPO deba ser jurista, lo cierto es si su formación jurídica no es profunda no poseerá las competencias que le permitan encarar de modo flexible los problemas de cumplimiento normativo a los que se enfrente. Sin esta formación las soluciones acaban siendo lineales, de mera aplicación de la LOPD y, en muchos casos, simplemente restrictivas.

El CPO, debe ser un facilitador o si prefiere el catalizador que permita que la simbiosis entre los objetivos del negocio, la tutela de los derechos del cliente y la garantía de la seguridad sea posible. Y debe desempeñar su tarea no alterando los procesos de gestión, o recomendando hacerlo sólo en lo indispensable.

¿Quién es el Chief of Information and Security Officer?

Si se acaba de subrayar la indefinición del CPO otro tanto sucede con la del CISO. Desde la óptica del conocimiento “popular” de la figura es necesario situarse en el contexto de la aparición del primer Reglamento de Medidas de Seguridad. En este momento hubo que preguntarse quién podía ser el “responsable de seguridad” sin que la respuesta resultase evidente. La cuestión de determinar el perfil profesional óptimo para esta función podía incardinarse en las capacidades y competencias teóricas de los titulados o ejercientes en  informática. Sin embargo, no existía una titulación curricularmente homologable al 100% y fue el contexto de origen norteamericano de las certificaciones CISA-ISACA el que con el tiempo consolidaría en el sector la figura del auditor de seguridad.

El sector perdió una importante batalla cuando el regulador pese al aluvión de peticiones recibidas se negó a incorporar una definición de la figura que incorporase un perfil profesional claro al Reglamento de 2007. Sin embargo, este Reglamento como referente resulta manifiestamente insuficiente ya si tomamos como paradigma la regulación de la auditoría de seguridad, ésta, como es lógico, es una tarea revisora y reactiva. La que corresponde al CISO posee una dimensión mayor que, en mi opinión no sólo afecta a los valores estrictamente ligados a la seguridad. De hecho, no podemos entender sus competencias si no se pone el acento en su dimensión informacional y lo interrelacionamos con la idea de privacy by design.

Dicho de otro modo, el CISO debe ser un profundo conocedor de los procesos de gestión de la organización, de los flujos de la información y del valor que esta posee para la entidad. Por tanto, no se trata de un mero análisis de riesgos sino de una labor mucho más profunda que comienza con el diseño de las aplicaciones y de los procesos de gestión. Y tampoco se refiere de modo exclusivo a que en éstos se garantice la privacidad. Hay que añadir a ello valores como el de la calidad de la información o la definición de perfiles funcionales adecuados, y no sólo jurídicamente. Por otra parte, en el ámbito de la protección de datos-seguridad el concepto nuclear del Privacy Impact Assesment pone de relieve hasta qué punto la tarea del CISO poseerá un contenido complejo que acompaña al negocio desde su gestación.

Por otra parte, el concepto de privacidad no puede nublar el juicio impidiendo ver el papel central del CISO en la gestión de la información corporativa. La relevancia que ha adquirido el derecho fundamental a la protección de datos oculta muchas veces la criticidad que puede poseer toda la información corporativa. Desde este punto de vista, la gestión de los flujos de información y la garantía de su seguridad va más allá de la pura información personal y requiere de gestores con una visión integral que supere el estricto prisma de la privacidad. Sin desconocer hasta qué punto en muchas organizaciones la asunción del carácter estratégico de la seguridad ha llegado de la mano de la Ley Orgánica de Protección de Datos resultaría temerario confundir una cosa y otra. La gestión de toda la información corporativa, el análisis de los riesgos que se afrontan y su buen gobierno van mucho más allá de la garantía de la privacidad y debe permear toda la cultura corporativa.

Por ello, y en la nada autorizada opinión de un jurista, parece intuirse que el reto de nuestras universidades en esta materia debe superar las estrecheces de la auditoría de seguridad y el análisis de riesgos y adentrarse en un conocimiento amplio de los modelos de gestión empresarial, salpimentado necesariamente con nociones jurídicas básicas.

CPO & CISO, ¿Tanto monta…? La figura del DPO.

Llegados a este punto es necesario considerar si una figura y otra resultan excluyentes o complementarias. Para ello, puede resultar particularmente ilustrativa la figura del delegado de protección de datos, traducción desafortunada donde las haya, que incorpora la Propuesta de Reglamento General de Protección de Datos planteada por la Comisión Europea hoy en fase de tramitación. En principio la Propuesta indica que la designación de este profesional se realizará atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas que le asignará la futura norma.

¿Pero cuáles son estas tareas? La verdad es que se trata de tareas bastante variadas que pueden ser atendidas desde perfiles diversos. La primera consiste en una labor de asesoramiento respecto de las obligaciones que la normativa imponga y documentar esta actividad y las respuestas recibidas. Asimismo se ocupará de supervisar la implementación y aplicación de las políticas de cumplimiento normativo en todos los ámbitos incluidas la atención de los derechos de acceso, rectificación cancelación y oposición, la formación del personal y las auditorías. Esta labor de supervisión se extiende al cumplimiento de los principios de privacidad en y desde el diseño, la protección de datos por defecto, la seguridad de los datos y las evaluaciones de impacto (PIA-Privacy Impact Assessment). Velarán por una adecuada documentación de todos los procesos en los términos fijados por la norma y supervisarán la documentación, notificación y comunicación de incidentes de seguridad. Por último se erigen en el órgano de relación con las autoridades de protección de datos personales.

Así pues la figura se dibuja con perfiles tan amplios que aunque pudiera encajar con la definición de chief privacy officer  gran parte de sus tareas poseerían un grado tal de especialización en materia de análisis de riesgos y gestión, de las políticas y medidas de seguridad que difícilmente podrá realizar su labor sin una asistencia técnica de alta calidad. Pero el fenómeno se produce de igual modo a la inversa si el perfil del delegado es técnico. Como se decía más arriba el derecho fundamental a la protección de datos, o si se prefiere el derecho a la privacidad, es un derecho de contenido complejo y altamente imbricado con la regulación específica del sector en el que se desenvuelva la actividad de la organización. Ello es tan cierto que, aunque resulte obvio, hay que recordar que uno de los mayores riesgos para cualquier organización es el que se vincula al cumplimiento normativo. Y ni siquiera es necesario recordar el elevado importe de las multas que se pueden imponer en nuestro país. A medida que la población madura y se adentra en la sociedad de la información mientras que de un lado puede banalizar la privacidad en ámbitos como las redes sociales, de otro, nadie duda que pueda reaccionar muy desfavorablemente cuando un impacto en su vida privada pueda afectar a aspectos íntimos o a su seguridad personal o financiera.

Si a lo anterior añadimos que aspectos nucleares en el diseño del negocio y sus procesos de gestión dependen en más de una ocasión del sentido que quepa atribuir a un conjunto de disposiciones integradas en una maraña normativa que conviene desbrozar, sólo podemos concluir  que la idea CISO v. CPO induce a una falsa confrontación y deberíamos más bien hablar de la sociedad CISO & CPO.  Por ello, cuando las capacidades de la organización lo permitan deberíamos recuperar la figura del comité, la task force o el grupo de trabajo que integre profesionales de estos dos perfiles junto con gestores, pero sin perder de vista la identificación funcional individual de cada uno de ellos.

CPO & CISO, ¿una necesidad de las PYMES o las administraciones públicas?

La reflexión respecto de estas figuras resultaría incompleta si no se considera algo que podríamos la tentación de excluir desde el sentido común. Es evidente que CPO y CISO son profesionales que se integran en organizaciones con una envergadura suficiente como para soportar sus costes y necesitar ineludiblemente de sus servicios. Y sin embargo, en la sociedad de la información cada segundo que pasa el tamaño pierde importancia si atendemos a elementos cualitativos. En el momento de redactar este artículo una búsqueda de las expresiones “Big Data” y “PYMES” da un total de 140.000 entradas en el buscador, de las cuales 55.900 en España. Nuestra pequeña y mediana empresa debe digitalizarse a pasos forzados y desembarcará en el mundo internet necesariamente.

En este sentido, cabe reconocer que en organizaciones de tamaño medio, y ante la imposibilidad de soportar los costes laborales, es altamente probable que tanto el responsable de informática o TI como el responsable del área jurídica deban desarrollar un esfuerzo de especialización que les conduzca a asumir e integrar las funciones de estas figuras en su respectivo perfil funcional. Por tanto, en la medida en la que los procesos intensivos en el uso de información de todo tipo crecen lo hace paralelamente la necesidad de disponer de un modelo adecuado de gestión de la misma que asegure su certeza, integridad, disponibilidad y confidencialidad. En este sentido, probablemente los servicios externos de consultoría deban evolucionar para ser capaces de proporcionar en condiciones económicas adecuadas este tipo de servicios.

Otro tanto sucede en el seno de las administraciones públicas.  La repercusión en estas organizaciones de la legislación sobre protección de datos personales ha ido creciendo lentamente y poniendo en valor tanto los requerimientos de privacidad como los de seguridad. Este impacto que resultó relativamente bajo con la LORTAD, remontó con fuerza de la mano de la LOPD y se consolidó con la Ley de Administración Electrónica que resulta imposible de aplicar si no se han resuelto previamente las necesidades en materia de privacidad. Lo mismo sucede en materia de seguridad. Si bien la metodología que incorporaba MAGERIT aparece a finales de los noventa del pasado siglo, la generalización de las metodologías ordenadas a disponer de normativas y políticas de seguridad integrales se generalizan con el Esquema Nacional de Seguridad. Esta evolución normativa favorece un escenario en el que las organizaciones con cierta capacidad y/o tamaño como ministerios, consejerías, diputaciones, ayuntamientos de medio y gran tamaño o universidades deben plantearse disponer de CISO y CPO, así como de prestar soporte a aquellas entidades administrativas que por su capacidad económica o poblacional carecen de recursos para ello.

La necesidad de reconocimiento… interno.

El creciente interés que los medios generalistas ponen en las noticias sobre privacidad ha puesto a muchos chief privacy officer de multinacionales en la primera página de los periódicos. Del mismo modo las cuestiones vinculadas a incidentes de seguridad son tratadas con una espectacularidad rayana en el amarillismo y ponen bajo el foco la labor del CISO. Desde este punto de vista pudiera parece que una y otra categoría de profesional están marcadas por un éxito público arrollador y una influencia interna determinante. Y sin embargo, no es así.

No resulta extraño encontrar debates en los medios especializados y en la blogosfera respecto de cuál deba ser la ubicación y ante quien responde o reporta cada figura. Que estas cuestiones se discutan expresan una realidad más profunda y a la vez preocupante. Si bien al redactar estas líneas no se duda que existan organizaciones que apliquen el manual de buenas prácticas, y careciendo de datos empíricos lo suficientemente amplios como afirmar lo contrario, el autor debe apelar a la experiencia y las relaciones personales. Y lo cierto es que allí donde se escarbe la relación de CISO y CPO en el seno de muchas organizaciones es fundamentalmente reactiva. De aquí su creciente visibilidad pública como “apagafuegos”.

Cómo más arriba se señaló, la tarea de una y otra son instrumentales y facilitadoras. Son profesionales cuya labor contribuye a mejorar significativamente los procesos de gestión y gobierno de las tecnologías de la información en todas las organizaciones. Pueden desarrollar tareas de control/calidad esenciales respecto de la provisión de servicios externos relacionados con su área de influencia. Y cuando la organización posee el suficiente músculo deben integrarse y contribuir al negocio desde los estadios iniciales de los proyectos. Por el contrario, si no obtienen un adecuado reconocimiento y respaldo pueden acabar por convertirse en un molesto voceras.

Esta necesidad de reconocimiento debería alcanzar la esfera de lo público. La presencia de estas figuras profesionales en el organismo regulador a través del Consejo Asesor de la Agencia Española de Protección de Datos es nula. La regulación de la institución, anclada en la LORTAD y en un Reglamento de 1993 no se corresponde con la realidad actual y deja en manos de terceros como las universidades en la CRUE, los académicos de la historia o los consumidores la elección de las personas que se integran en este órgano consultivo. Sin embargo, y en contraste con su importancia creciente, ni los profesionales de la privacidad ni los de la seguridad y gestión de la información pueden proponer directamente representantes en el Consejo.

 Conclusiones.

 El examen del falso debate CISO v. CPO pone de manifiesto, la necesidad de una aproximación holística a la seguridad y la privacidad que ponga en valor la información sea esta personal o no. Por otra parte, lejos de plantearse la cuestión en términos de “quién debe hacer qué”, -o quien debe liderar-, la experiencia práctica apunta a la exigencia de una interacción multidisciplinar que sepa diferenciar tareas y a la vez identificar objetivos compartidos. Ello es particularmente relevante en el contexto nacional, e incluso europeo, en los que a la tradicional regulación de los derechos a la intimidad y a la protección de datos se superpone la normativización de la seguridad sea esta como mero objetivo genérico de obligado cumplimiento, ya sea con la presencia directa de regulaciones específicas.

Sin embargo, el reto fundamental que ambas figuras enfrentan es el del reconocimiento interno. Las organizaciones deben entender que CISO y CPO son un elemento fundamental en su equipo, el catalizador que garantizará la necesaria confianza en la seguridad y legalidad de nuestras acciones. No parece ofrecer dudas que los profesionales de la seguridad y la privacidad se abren camino en todos los ámbitos como perfiles que necesariamente deben existir. Pero las organizaciones no pueden limitarse a su contratación, deben crear un campo de juego que les permita desarrollar una labor creativa al servicio de los intereses del empleador. De lo contrario se convierten en un recurso manifiestamente desaprovechado, en agentes reactivos a los que muy a su pesar sólo queda constatar los incumplimientos y las carencias.