4 minute read
Entrevista Jaime Requejo
Firma: AliciA Burrueco
Hablamos con Jaime Requejo, DPO de Sanitas.
CyberSecurity News (CSN): Antes de entrar en profundidad en las temáticas elegidas para esta entrevista, ¿podrías contarnos cuáles son las funciones de un DPO? ¿Cómo es tu día a día?
Jaime Requejo (JR): En términos generales la función habitual de un DPO es la de informar y asesorar a la compañía en materia de privacidad, así como supervisar el cumplimiento de la normativa vigente. Ahora bien, para realizar esta tarea correctamente es necesario remangarse, bajar al terreno de juego. Hay que entender muy bien el “que hacemos”, pero también el “cómo lo hacemos”. Hay que ir de la mano con el negocio, acompañarlos, darles soluciones y hacerles entender cuál es tu función: ayudar a hacer las cosas bien desde el principio poniendo siempre el foco en nuestros clientes. En la mayoría de los casos, esto implica
analizar aspectos legales y también aspectos tecnológicos, por ello es fundamental contar con un equipo apropiado que te ayude en estas tareas y estar coordinado con otros departamentos, como por ejemplo con el equipo de Seguridad de la Información.
CSN: ¿Cuál dirías que ha sido tu mayor reto dentro de Sanitas?
JR: Crear cultura dentro de la compañía en tres aspectos fundamentales. Primero, no paramos iniciativas, ayudamos a gestarlas de manera que se respeten siempre los derechos y libertades de los interesados. Segundo, contar con el equipo de privacidad desde el inicio de los proyectos, nos hace más eficientes. Y tercero, informar hasta el más mínimo incidente de privacidad nos ayuda a mejorar como compañía. Registrar incidentes de privacidad no es malo, lo malo es que sucedan y no se registren por considerarlos de escasa relevancia. Registrarlos te ayuda a localizar campos de mejora y definir planes de acción que pueden evitar incidentes mayores.
CSN: Ya hace unos cuatro años de la implantación del Reglamento General de Protección de Datos. ¿Has notado un cierto grado de concienciación de las empresas, especialmente de las PYMES, respecto a esta nueva ley?
JR: Sin duda. Yo creo que todas las empresas con las que trabajamos o interactuamos, incluso las PYMES más pequeñas, saben lo importante que es cumplir con los requerimientos del RGPD. Además, cada vez existe una mayor concienciación a nivel particular de la importancia de lo que hacemos con nuestros datos personales, lo que está obligando a todas las empresas, pequeñas o grandes, a hacer un esfuerzo especial en este campo.
CSN: En el mes de marzo tuvo lugar unos de los ciberataques más hablados del 2022, hasta el momento. ¿Cómo deben proceder los ciudadanos que sus datos se ven afectados como en el ataque a Iberdrola?
JR: No me gusta centrarme en un incidente de una empresa en particular. Creo que todos estamos expuestos a sufrir un ciberataque, ¡siempre puede existir el error humano! Lo importante es cómo se gestiona ese incidente por parte de la empresa afectada. ¿Hizo sus deberes? ¿Ha informado debidamente a los interesados?, etc.
Jaime, DPO en Sanitas
Dicho esto, los interesados afectados deben de prestar especial atención a futuras comunicaciones, verificando su autenticidad, resetear sus contraseñas y facilitar únicamente su información a empresas y por medios confiables. Por supuesto, también deben de preguntar siempre
que tengan dudas a la empresa ataca-
da ya que esta es, en definitiva, la responsable de su información.
CSN: Continuando con la pregunta anterior, ¿qué podría haber pasado, y ha pasado, si esos datos los ciberdelincuentes lo utilizan para lanzar un phishing?
JR: Desafortunadamente, los ciberdelincuentes cada vez lanzan ataques más sofisticados y teledirigidos. Seguramente utilicen la informa-
ción obtenida para lanzar nuevas campañas de phishing para obtener la
información necesaria que les permita acceder a información más sensible o restringida (cuentas bancarias, información médica, etc.) o para cometer otro tipo de fraudes como el conocido como fraude al CEO o el llamado mail Spoofing.
CSN: Dentro de CyberSecurity News tenemos una sección dedicada a los ciberseguros. Además, ya llevamos dos ediciones celebradas del Cyber Insurance Day. ¿Cuál es tu opinión sobre el ciberseguro como miembro de Sanitas?
JR: A la hora de valorar un ciberseguro, como en cualquier otro seguro, hay que definir el riesgo que se quiere cubrir, condiciones o requisitos para que este cubierto en caso de siniestro y la prima, cuanto me cuesta cubrir ese riesgo. El riesgo que se pretende cubrir con
un ciberseguro tiene en la actualidad gran relevancia y criticidad motiva-
da, por un lado, por el incremento de la actividad maliciosa (i.e. ransomware), la digitalización de las empresas, el incremento sustancial del teletrabajo, etc. y por otro, los cambios normativos (i.e. RGPD, NIS, etc.) y el aumento notable de la actividad sancionadora, tanto en número como en cuantía. En nuestro caso particular - presiento es común en otros sectores - definir el riesgo es altamente complejo, los requisitos para estar cubiertos son, en ocasiones inalcanzables o por lo menos inciertos y la prima suele ser una cifra muy alta. Teniendo todo esto en cuenta, hace realmente compleja la decisión de si compensa o no contratar uno de estos seguros, siendo un campo que, a mi juicio, todavía tiene que madurar bastante. .
