EJEMPLOS DE POLÍTICAS ORIENTADAS A LA PROTECCIÓN DE DATOS PERSONALES.
En el post de hoy, y durante los siguientes, vamos a ver unos cuantos ejemplos de políticas orientadas a la seguridad de la protección de los datos de nuestra organización, como por ejemplo:
- Política de Seguridad de TI,
- Política de Control de Acceso,
- Procedimientos de Seguridad del Departamento de TI,
- Política de Trae Tu Propio Dispositivo (BYOD),
- Política de Dispositivos Móviles y Teletrabajo,
- Política de Pantalla y Escritorio Limpios,
- Política de Clasificación de la Información,
- Política de Anonimización y Seudonimización,
- Política del Uso del Encriptado,
- Plan de Recuperación ante Desastres,
- Procedimiento para Auditoria Interna,
- Lista de Verificación de Auditoria Interna de ISO 27001.
Es decir, la seguridad de datos, también conocida como seguridad de la información, es un aspecto esencial de TI en organizaciones de cualquier tipo y tamaño.
Ya que se trata de un aspecto que tiene que ver con la protección de datos, contra accesos no autorizados, y para protegerlos de una posible corrupción durante todo su ciclo de vida, deberán ser tenidas muy en cuenta.
¿Por qué mi empresa debería de crear una Política de Protección de Datos?
Pues porque existe el riesgo de que cada uno de sus diferentes departamentos o empleados en su empresa interprete los requisitos del RGPD de diferentes maneras.
La Política de Protección de Datos del RGPD facilita la tarea a los empleados y les ahorra el esfuerzo de tener que interpretar toda la regulación por sí mismos.
Sin duda, cada vez son más los productos tecnológicos que, de una u otra forma, deben ser tenidos en cuenta para temas de seguridad, y que se están introduciendo en nuestra vida cotidiana, desde smartwatches hasta vehículos sin conductor.
En efecto, estamos en la era del Internet de las Cosas (IoT) y, por supuesto, de los hacks relacionados con IoT.
Todos estos dispositivos conectados crean nuevas “conversaciones” entre dispositivos, interfaces, infraestructuras privadas y la nube, lo que a su vez crea más oportunidades para que los hackers puedan escuchar.
En consecuencia, pensar en seguridad de datos y construir defensas desde el primer momento es de vital importancia.
Por ejemplo, como políticas de protección de datos que deberíamos implantar en nuestra organización podrían estar:
Política de clasificación de la información
En cuanto a la clasificación de la información, como primer punto aplicable a la política de protección de datos, ésta estaría dirigida a la identificación y clasificación de los tipos y categorías de datos personales tratados en cada unidad de la organización.
Política de recuperación de la información
En cuanto a la política de recuperación de esa información que hemos clasificado, estaría dirigida a establecer los requisitos y procedimientos para garantizar la recuperación de los datos personales (y de los sistemas que los contienen) ante cualquier tipo de desastre.
Tareas de copia de seguridad
Una tarea de copia de seguridad es un conjunto de datos que se pueden copiar a otra ubicación en un momento dado, así como las reglas que describen cómo se hará la copia.
Estas reglas, consideradas como parte de la tarea, especifican el nivel de cifrado, una contraseña de cifrado, una cuenta de equipo y la contraseña para permitir el acceso al destino, además de otras varias opciones y parámetros, que podríamos considerar.
Políticas de retención de las copias de seguridad
Cada programación de copias puede estar asociado con una política de retención de copia de seguridad.
Por lo general, una política de retención de copia de seguridad especifica cuánto tiempo se debe de mantener los datos que una copia produce cuando el trabajo de copia de seguridad se activa por la programación.
La política de retención de copia de seguridad también puede exigir que se mantenga un número mínimo de copias antes de que se eliminen automáticamente.
Implícitamente, la política de retención de copia de seguridad le indica al sistema de copias cuando es correcto borrar una versión antigua, porque se hizo hace mucho tiempo y ya hay suficientes copias hechas más recientemente.
Política de conservación de la información
Relacionada con la política anterior, deberíamos definir los periodos de conservación limitados de los datos personales tratados en la organización.
Resulta que la forma de conservar esa información tiene una gran importancia para la organización, por lo que habría que implantar unos pasos a seguir para tener controladas las copias de información.
De la misma manera, y tanto si las copias de seguridad las almacenamos en la empresa (en un disco duro externo, o en otros medios de respaldo) como si la realizamos en la nube, hay que tomar una serie de medidas o actuaciones:
Por ejemplo:
- Proporcionando al Departamento de Desarrollo información que no sea veraz sino enmascarada.
- Cambiando algunos datos por otros de forma que, aunque puedan probar que los sistemas funcionan, no se les esté entregando ninguno de los datos sensibles del negocio.
- Asegurar que la protección garantiza la confidencialidad, integridad y disponibilidad de los datos.
Seguridad de datos en el manejo de los medios de almacenamiento
Del mismo modo, la política de seguridad en el manejo de los medios de almacenamiento sienta las bases necesarias para proteger toda esa información susceptible de ser vulnerada y filtrada a través de dispositivos externos.
A pesar de su importancia, muchas empresas no tienen en cuenta esta política porque es habitual que se suela prescindir de incluirla en un procedimiento como tal, convirtiéndose en una vía de escape fuera de control.
En consecuencia, la eficacia en la protección de datos sensibles pasa por la monitorización del acceso y el uso que se da a los sistemas, pero también de la política que se ha implantado para conseguirlo.
Es decir, que un seguimiento apropiado permite saber si realmente esa política está funcionando o si, por el contrario, es necesario adaptarla a nuevas circunstancias. Para ello hay que averiguar si el software, o la solución a nivel de sistema que se están utilizando, son útiles de verdad.
Para ello es necesario:
- Registrar y archivar toda la actividad: qué accesos se han habilitado y a quién, a qué datos corresponden, etc.
- Monitorear y evaluar las políticas que se han implantado: llevando a cabo un control continuo de cumplimiento, funcionalidad y adaptación periódica.
Para proteger la información vulnerable frente a dispositivos externos, es recomendable:
- Aplicar medidas de protección a copias de respaldos en lugares físicos diferentes, tales como encriptación y archivado de datos sensibles.
- Establecer y controlar, restringiendo si fuese necesario, el uso de dispositivos personales, tales como discos externos o memorias USB, entre otros, por parte del personal.
- Bloquear determinados hardwares, mediante sistemas de reconocimiento de usuario.
- Utilizar softwares que permitan saber si hay algún empleado que se esté tratando de filtrar información a través de medios como el email o tecnologías como Skype, por ejemplo.