GMV colabora en la “Guía de actuación ante incidentes de seguridad que requieran notificación” de AUTELSI
El establecimiento de una obligación legal para que las empresas reporten a la administración sus incidentes de seguridad es una tendencia creciente. Durante el año 2018 entrará en vigor del Reglamento Europeo de Protección de Datos (GDPR), y se publicará la transposición española de la Directiva NIS. Dos regulaciones que vienen a sumarse a otras ya existentes, como la Ley PIC o el Esquema Nacional de Seguridad que, ya requerían de las empresas afectadas este reporte. Así, organizaciones de la administración pública, operadores esenciales o de infraestructuras críticas, así como cualquier empresa que maneje datos personales se ven impactadas por esta regulación.
Sin embargo, las distintas regulaciones requieren condiciones particulares y específicas sobre el reporte que se debe hacer: cuando hacerlo, en qué nivel de detalle, en qué plazos, a qué autoridad, con qué formato. En esta situación las organizaciones están teniendo dudas sobre como cumplir adecuadamente con esta obligación legal. En particular cuando algún incidente precisase ser reportado simultáneamente a varias autoridades.
Conscientes de este problema, el Grupo de Trabajo de Calidad y Seguridad de AUTELSI (Asociación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información) ha elaborado un Estudio sobre la “Actuación ante incidentes de seguridad que requieran notificación”, con la colaboración de GMV, representado por Mariano J. Benito, miembro del grupo de trabajo y CISO de GMV Secure e-Solutions.
El objetivo de la guía es clarificar y contrastar los requisitos legales exigidos por estas regulaciones, asistiendo en su actividad a los profesionales de la seguridad de la información, los distintos componentes del comité de crisis/seguridad o responsables en esta materia. De esta manera, se podrán notificar los posibles incidentes de ciberseguridad con criterios homogéneos, en los plazos establecidos y a todas las autoridades necesarias. La guía también pretende servir de elemento de sensibilización y de acercamiento de dicha problemática a los distintos órganos de Dirección de las empresas y entes públicos.