La pandemia actual en la que nos encontramos inmersos desde hace casi año y medio ha obligado a pequeñas y grandes empresas a digitalizarse rápidamente. El teletrabajo fue una sorpresa para la mayor parte de las entidades, puesto que, muchas de ellas no tenían un Plan de Continuidad de Negocio. Esta situación hizo que cada trabajador se llevara a su domicilio un portátil para poder seguir trabajando, ¿pero se tomaron las medidas de seguridad correctas y adecuadas? En la mayor parte de los casos no se tomó ninguna medida.
Un importante número de empresas estuvieron expuestas a ser ciberatacadas, comprometiendo la información de su empresa, así como la de sus trabajadores, clientes y proveedores. Si miramos los datos proporcionados por la Agencia Española de Protección de Datos (AEPD), en su informe “Notificaciones brechas de Datos Personales – marzo 2021”, vemos la evolución. De 93 brechas de seguridad que se notificaron en marzo de 2020 a 177 en el mismo mes del año 2021. Debemos tener en cuenta que estas solo son las brechas notificadas, pues existen muchas más que ocurren diariamente y no son notificadas ante la autoridad de control competente, en este caso la AEPD.
Actualmente no existe una única normativa de transformación digital como tal, lo que sí existen son diferentes normas y normativas que hacen que tu empresa sea cibersegura y protejan adecuadamente los datos con los que trabaja y genera al desarrollar su actividad empresarial.
¿Por qué invertir en digitalizar la empresa?
Existen normas y normativas específicas para comenzar a digitalizar tu empresa y así crear una normativa de transformación digital, como, por ejemplo, el Esquema Nacional de Seguridad (ENS), obligatorio para todas las administraciones y organismos públicos y, para las empresas que quieran trabajar para la administración. Otra norma a destacar es la Norma ISO 27001, encargada de proteger la información de tu empresa, a través de un Sistema de Gestión de la Información (SGSI). Por esto, cada empresa puede crear su propia normativa de transformación digital, a través de las diferentes normas y normativas existentes, eligiéndolas por el cumplimiento o no de las necesidades de la entidad.
Servicios de Ciberseguridad y Protección de datos que ofrece Grupo CFI
- Implantación del RGPD y LOPDGDD
- Implantación Norma ISO 27001
- Implantación ENS
- Plan de Continuidad de Negocio
- Hacking Ético
- Análisis Forense Digital
- Análisis de Riesgos
- Análisis de Vulnerabilidades
Estos servicios pueden ayudarte a crear, dentro de tu empresa, tu propia normativa de transformación digital.
¿Qué normas y normativas para la digitalización de tu empresa puedes implantar con Grupo CFI y normativa de transformación digital?
Implantación de RGPD y LOPDGDD
La base de la creación en las empresas, organizaciones y organismos de una normativa de transformación digital parte por el cumplimiento de la normativa. Si además se desea implantar y certificar alguna de las diferentes normas que existen, es requisito imprescindible, en este ámbito, cumplir con la normativa de protección de datos RGPD y LOPDGG y con la ley de servicios de la información y comercio electrónico LSSI.
Cumplir con estas normativas es algo que desde el año 1999 que entró en vigor la Ley 15/1999 de protección de datos personales se ha ido complicando. Hoy sino se cuenta con un profesional que conozca la normativa, resulta una tarea tediosa para una persona neófita en la materia.
A continuación las dos normas que existen, que consideramos fundamentales, y que las empresas están comenzando a implantar, son: la Norma ISO 27001 y el ENS. Ambas resultan una muy buena opción para incluir en la normativa de transformación digital de tu empresa.
Esta norma es un buen comienzo para crear una normativa de transformación digital, ya que se centra en la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), el cual, una vez implantado, puede certificarse bajo dicha norma. Su función es garantizar que una entidad se preocupa de gestionar la seguridad de su información.
Una vez implantada esta medida de máxima seguridad, una entidad certificadora realiza una auditoría de certificación. Si ésta es superada, se otorga el sello certificando el cumplimiento de los requisitos establecidos en la Norma ISO 27001.
Con esta certificación además de ayudar a crear la normativa de transformación digital, ayuda a dar seguridad y confianza a terceros de que la organización gestiona, de manera adecuada, la seguridad de la información que almacena.
Implantar un SGSI es una tarea muy compleja que requiere de profesionales especializados. Recordemos que un SGSI es un sistema completísimo para gestionar la información de la empresa, certificándolo ante terceros.
Existen dos normas que son complementarias a la Norma ISO 27001, estas son la ISO 27002 y la ISO 27701.
Norma ISO 27002
Esta normativa, no certificable, es el código de buenas prácticas para la gestión de la seguridad de la información. Es decir, la Norma ISO 27001 recoge una lista de controles necesarios para cumplir con la seguridad de la información, mientras que la ISO 27002 es la guía que recoge la manera más adecuada en la que se deben implantar esos controles.
Norma ISO 27701
Esta norma, además de estar muy relacionada con la ISO 27001 también ayuda a la empresa a crear la normativa de transformación digital. Con esta norma se certifica el cumplimiento de la normativa de protección de datos en la entidad.
La relación entre ambas normas es que la ISO 27701 recoge controles para la protección de datos que deben añadirse al Sistema de Gestión de Seguridad implantado por la Norma ISO 27001.
Implantación Esquema Nacional de Seguridad (ENS)
Es una normativa que se regula a través del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Esta normativa, la cual ayudará a la empresa a crear la normativa de transformación digital, su finalidad “es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios”.
El ENS, también puede formar parte de la normativa de transformación digital de la empresa. Ha sido establecido por el Centro Criptológico Nacional (CNN), es exigible desde el año 2016, su obligatoriedad de aplicación de las medidas recogidas para las Administraciones Públicas, así como a las empresas externas que prestan servicios a éstas. Independientemente de esto, cualquier empresa puede implantar un ENS e incluirlo en la normativa de transformación digital de la entidad.
Tal y como hemos comentado, la implantación del Esquema Nacional de Seguridad ayudará a la empresa a crear la normativa de transformación digital, por lo que debe realizarse por expertos en materia, puesto que no solo requiere conocimientos legales, sino también técnicos.
Las medidas de seguridad han de aplicarse a todos los departamentos que componen la organización. Será muy necesaria la participación de los departamentos técnicos, así como la de la dirección de la organización. Una implantación a una empresa de más de 250 trabajadores tendría una duración de entre 6 y 12 meses.
Beneficios de implantar las dos normativas anteriores
- Afianzar la confianza con nuestros clientes y proveedores
- Evitar pérdidas económicas por sufrir un incidente de seguridad o ser sancionados por el organismo competente
- Licitud y cumplimiento de todas aquellas normativas con las que la empresa está obligada a cumplir
- Generar confianza entre posibles clientes
- Aumento de las oportunidades de negocio
- Ventaja competitiva ante su competencia
- Evitar brechas de datos
- Crear nuestra propia normativa de transformación digital
- Reducir el riesgo de tener un incidente de seguridad
- Otorga garantía a los servicios y productos que ofrecemos
- Pueden integrarse otros Sistemas de Gestión Normalizados
- Capacidad de adaptabilidad de la empresa a los cambios
- Innovación continua
Conclusión
Ante la obligada y rápida transformación digital en la que nos hemos visto inmersos necesitamos unos cánones que nos definan la dirección que debemos seguir. Como ya hemos mencionado con anterioridad no existe una normativa de transformación digital que se aplique a todas las empresas. Es por ello que cada empresa debe detectar qué normativas de transformación digital se adecuan mejor a su entidad.
Grupo CFI es una consultora especializada en ayudar a las empresas en todo aquello relacionado con la ciberseguridad y la protección de datos. Podemos ayudarte a crear tu propia normativa de transformación digital, compuesta por aquellas normativas que mejor protejan la información y datos que generas y con los que trabajas en tu empresa.
Julio César Miguel Pérez
CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, ciberseguridad, protección de datos personales y comercio electrónico.