GMV col·labora en la “Guía de actuación ante incidentes de seguridad que requieran notificación” d’AUTELSI
L’establiment d’una obligació legal perquè les empreses reportin a l’Administració els seus incidents de seguretat és una tendència creixent. Durant l’any 2018 entra en vigor el Reglament Europeu de Protecció de Dades (GDPR), i es publicarà la transposició espanyola de la Directiva NIS. Dues regulacions que vénen a sumar-se a unes altres ja existents, com la Llei PIC o l’Esquema Nacional de Seguretat que ja requerien de les empreses afectades aquest report. Així, organitzacions de l’Administració Pública, operadors essencials o d’infraestructures crítiques, així com qualsevol empresa que treballi amb dades personals es veuen impactades per aquesta regulació.
Tanmateix, les diverses regulacions requereixen condicions particulars i específiques sobre el report que cal fer: quan fer-ho, en quin nivell de detall, en quins terminis, a quina autoritat, amb quin format. En aquesta situació les organitzacions estan tenint dubtes sobre com complir adequadament amb aquesta obligació legal. En particular, quan calgui reportar algun incident simultàniament a diverses autoritats.
Conscients d’aquest problema, el Grup de Treball de Qualitat i Seguretat d’AUTELSI (Asociación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información) ha elaborat un estudi sobre l’“Actuación ante incidentes de seguridad que requieran notificación”, amb la col·laboració de GMV, representat per Mariano J. Benito, membre del grup de treball i CISO de GMV Secure e-Solutions.
L’objectiu de la guia és aclarir i contrastar els requisits legals exigits per aquestes regulacions, assistint en la seva activitat als professionals de la seguretat de la informació, els diversos components del comitè de crisi/seguretat o responsables en aquesta matèria. D’aquesta manera, es podran notificar els possibles incidents de ciberseguretat amb criteris homogenis, en els terminis establerts i a totes les autoritats necessàries. La guia també pretén servir d’element de sensibilització i d’apropament de la problemàtica als diversos òrgans de direcció de les empreses i ens públics.