ordenador con logo RGPD

MAS EJEMPLOS DE POLÍTICAS ORIENTADAS A LA PROTECCIÓN DE DATOS PERSONALES.

Seguimos hablando en este post de otras políticas orientadas a la protección de datos.

Recordemos que pensar en seguridad de datos y construir defensas desde el primer momento es de vital importancia.

Como continuación de las políticas de protección de datos que deberíamos implantar en nuestra organización podrían estar también:

Política de Transferencias Internacionales de Datos

Consistiría en identificar los supuestos de comunicaciones de datos hacia países terceros, finalidades y requisitos de la comunicación de datos.

Asimismo, y en su caso, el uso de normas corporativas vinculantes, clausulas contractuales tipo u otras garantías adecuadas.

sobre con candado

Política de uso de correo electrónico

Estaría dirigida a definir los requisitos para el uso adecuado de los sistemas de correo electrónico de la organización y concienciar los usuarios sobre los usos aceptables e inaceptables de dichos sistemas.

Asimismo, sería conveniente implementar una política de retención de correos electrónicos, dirigida a establecer los requisitos de la información enviada o recibida por correo electrónico que debe ser retenida, y los plazos de retención.

Política de uso de internet para empleados

  • Definir los estándares de los sistemas que monitorizan y limitan el uso de internet dentro de la red de la organización, los requisitos legales para su implementación, medios de información previa para los empleados, proporcionalidad de la monitorización y concienciación para los usuarios sobre el uso aceptable de internet en la organización y los riesgos de navegación.
  • Establecer los estándares aceptables de uso y contenido de las redes sociales.  Puede referirse tanto al uso corporativo, como al uso personal de las redes sociales cuando se relacione con la organización.

Política de escritorios limpios

También deberíamos establecer los requisitos mínimos en entornos dónde se trata información sensible/crítica, confidencial.

Por ejemplo, que los documentos no estén nunca a la vista.  Si estás trabajando con un documento que pueda contener datos sensibles, y entra alguien en ese momento, darle la vuelta al documento, apagar la pantalla del ordenador, no tener en la mesa más documentos de los necesarios, etc.

Política de destrucción de documentos

Además, sería conveniente establecer las directrices y procedimientos para la destrucción segura de documentos previamente clasificados como “destruibles”, en seguimiento a otras políticas de protección de datos (como la política de conservación de la información).

Entre ellas, se pueden incluir los requisitos de contratación de terceros encargados de la destrucción de documentos.

Políticas de eliminación de equipos de tecnología

Esta política está orientada a definición de los requisitos para la eliminación adecuada de equipos electrónicos, incluidos los discos duros, unidades USB, CD-ROM y otros medios de almacenamiento que contienen o pueden contener datos personales, entre otra información igualmente sensible para la organización.

Política de evaluación de adquisiciones

Asimismo, deberíamos definir los procedimientos y responsabilidades relacionadas con la adquisición de equipos y sistemas, incluyendo los requisitos mínimos de seguridad que deben ser evaluados por el equipo de tecnologías de la información y otras partes interesadas antes de cualquier adquisición.

Política de concienciación sobre ingeniería social

Aparte de lo anterior, establecer los procedimientos y reglas para concienciar a los colaboradores de la organización en las técnicas de ingeniería social dirigidas a la obtención de accesos no autorizados a la información, incluyendo acciones preventivas y de denuncia sobre conversaciones, correos electrónicos o chats electrónicos que utilicen palabras o técnicas relacionadas con ingeniería social.

teclado con el dibujo de una balanza en la tecla enter

Políticas para la protección de contraseñas

En primer lugar sería necesario establecer las directrices para la construcción de contraseñas, con los requisitos que deben tener las mismas para acceder a los equipos y sistemas de la organización.

Seguidamente, habría que establecer los controles y obligaciones de los usuarios para proteger adecuadamente sus contraseñas, incluyendo procesos de recuperación o reporte, de robos o extravíos.

¿Por qué de qué sirve invertir en seguridad cuando los usuarios no se toman en serio su contribución a la protección de los datos corporativos? 

Es cierto que cada vez tenemos que emplear más contraseñas en nuestra vida diaria y que tememos no recordarlas o cometer errores al introducirlas provocando que el sistema nos deniegue el acceso.

Pero existen soluciones, como los gestores de contraseñas multiplataforma, que simplifican esta tarea.

Lo que la organización no debe permitir es que:

  • Los usuarios empleen las mismas credenciales de inicio de sesión en varios sitios, práctica común al 60% de usuarios, pese a que un 90% entienden que estos hábitos son de alto riesgo.
  • Se utilicen contraseñas básicas. Determinadas combinaciones son extremadamente vulnerables… y son las más comunes.

Tras el problema de seguridad sufrido por Yahoo!», se descubrió que las contraseñas más frecuentemente empleadas son «123456» y «000000».

Lo cierto es que muchas compañías están tardando en darse cuenta de que no es seguro el confiar únicamente en la protección que dan los nombres de usuario y contraseñas como forma única de control de acceso. 

A día de hoy no bastan estos mecanismos para proteger la información confidencial o los datos personales. 

Hace falta innovar continuamente en el enfoque de la autenticación puesto que la crisis de credenciales no ha hecho más que empezar.

logo gestiona abogados