1 71 Table of Contents 73 116

Seguritecnia 461

72 SEGURITECNIA Febrero 2019 Seguridad en Entidades Financieras cesamiento masivo de datos sin control. Esta norma lo que pretende es prote- gerlos estableciendo un marco regula- dor; en definitiva, unas reglas de juego que permitan a personas y organizacio- nes gestionar estos datos sin violar el derecho al honor y la intimidad. El sector bancario español, por el alto volumen de datos que maneja, la sensi- bilidad de estos y la gama de servicios y operaciones que ofrece, ya otorgaba un alto nivel de protección en este sentido a los clientes y garantizaba el ejercicio de sus derechos antes de esta modificación normativa. Para el sector, el tratamiento y protección de sus datos es de vital im- portancia, no solo por lo sensible de esta información y por la necesidad de prote- gerla ante un uso indebido, sino también por las repercusiones que su mala utiliza- ción puede ocasionarnos. Perderíamos la confianza que depositan en nosotros los clientes y además tendría consecuencias para nuestra reputación. - ¿Cuáles son para usted los cambios más significativos de esta norma? Para mí las novedades más significativas son que se modifica el régimen de con- sentimiento –deja de ser válido el con- sentimiento tácito–, se regula el dere- cho al olvido en redes sociales y bús- quedas en Internet, la obligatoriedad de nombrar un delegado de protec- ción de datos y la exigencia de comuni- car incidentes de seguridad en un plazo máximo de 72 horas. En el ámbito de la seguridad física, re- conoce el interés público como base de legitimación en el tratamiento de los da- tos con fines de videovigilancia. También establece garantías del derecho a la inti- midad frente al uso de dispositivos de vi- deovigilancia, de grabación de sonidos y de geolocalización en el trabajo. S muy útil ser parte de foros donde los res- ponsables de seguridad de la informa- ción de diferentes empresas podamos compartir inquietudes, dudas, para tras- ladarlas al regulador llegado el caso. Internamente, el trabajo que realiza- mos es trasversal y necesita de colabo- ración entre nuestro departamento y otras áreas como cumplimiento, riesgo operativo, operaciones y tecnología. To- dos tenemos nuestro rol para asegurar- nos de cumplir con las regulaciones que nos aplican. Disponer de una primera y segunda líneas de defensa fortalecen el control del riesgo de incumplimiento. Por ejemplo, la exigencia de comuni- car brechas de seguridad en un periodo corto de tiempo nos obliga a disponer de procesos y procedimientos de ges- tión de incidencias muy eficientes. Ade- más, cuando tienes un incidente de se- guridad, es necesario poder recopilar in- formación como qué ocurrió, cuándo, cómo y a quién, para ser rápido a la hora de tomar decisiones y tener claro si de- bes o no reportar al regulador. En nues- tro caso esto es algo más complejo, ya que también debemos contactar con organismos internacionales, lo que nos exige procedimientos de comunicación internos que complican la tarea. Los riesgos que afrontamos por in- cumplimiento, tanto financieros como reputacionales, en un banco de nuestro tamaño pueden incluso comprometer nuestra vialidad. - A finales del año pasado se aprobó la nueva Ley Orgánica de Protección de Datos Personales y Garantía de De- rechos Digitales. ¿Cuál es su valora- ción sobre esta norma y su impacto en el sector bancario? Hablábamos antes del riesgo que con- lleva para las personas la lectura y pro- trayectoria, su experiencia en el sector, su reputación, sus estándares de cali- dad, sus referencias, saber si trabaja con otras entidades financieras... Aspectos como la orientación del pro- veedor al cliente, cumplir plazos, estable- cer unos acuerdos de nivel de servicio que se ajusten a la realidad del mercado, la flexibilidad a la hora de afrontar el tra- bajo o la metodología que aplican tam- bién son aspectos que tengo en cuenta. Por otro lado, es necesario que haya transparencia entre el proveedor y el cliente. El hecho de que se compartan los detalles técnicos e incluso posibles debilidades del servicio que vamos a contratar habla a favor de quien presta el servicio. E igual de importante es po- der auditar al proveedor si es necesario. En Triodos Bank también tenemos otros valores en cuenta a la hora de de- cantarnos por uno u otro proveedor, como son la responsabilidad social cor- porativa, si aplica o dispone de políticas medioambientales o implementa medi- das de eficiencia energética, si invierte en industrias o sectores como la indus- tria armamentística, en contra de los derechos humanos, sustancias peligro- sas, ingeniería genética… - La banca es uno de los sectores más regulados de nuestro país. Un estudio de KPMG del año pasado revela que las entidades habrán de adaptar más de 120 normas de aquí al año 2022. En ese sentido, ¿cómo abordan el com- pliance de las normas vinculadas a la seguridad de la entidad? El cumplimiento regulatorio es clave para la supervivencia de las entidades financieras, con el añadido de que es un reto difícil para organizaciones de un tamaño medio como es nuestro caso. El equilibrio entre satisfacer los objetivos de negocio y cumplir con un regulador que cada vez exige más, implica dedi- cación, recursos y cooperación interna. Pero es esencial que haya claridad con lo que se nos exige. La normativa no es siempre clara y puede interpretarse de diferente forma, lo que genera una carga de trabajo extra a la hora de tomar las decisiones más apropiadas. Para mí es “El auge digital ha generado que la ciberseguridad sea una de las mayores preocupaciones para los bancos, pero no creo que haya relegado a la seguridad física”

RkJQdWJsaXNoZXIy MzA3NDY=