RGPD - DOCUMENTOS
Establecer una política de seguridad de TI
Es bueno que las empresas establezcan una política de seguridad de TI, que es un documento de gobierno central que constituye una buena medida de seguridad organizacional.
¿Qué es una política?
Una política es un documento general del gobierno, a diferencia de una rutina que describe cómo se llevará a cabo el trabajo en la práctica. Puede haber varias rutinas que se establecen, con el fin de cumplir con los objetivos de una política. Una política establece la dirección, los objetivos y la visión. En otras palabras, lo que la empresa quiere lograr y la importancia de ello. Tenga en cuenta que una política debe ser:
En general: Una política debe establecer los objetivos generales y la visión de la empresa en el área específica. No describe exactamente lo que la empresa debe hacer, sino lo que se aplica. Por ejemplo, si la empresa establece una política de privacidad y una política de seguridad de TI, proporciona una buena base para cumplir con las reglas del RGPD.
Estrategia: Es más probable que las rutinas cambien con el tiempo, ya que hay más instrucciones diarias e información práctica. Mientras que una política es más a largo plazo y estratégica. Ayuda, entre otras cosas, a señalar la ambición para un área específica. Hay espacio para la adaptación, pero la dirección estratégica no suele cambiar.
Fácil de entender y conciso: Una política no debe ser larga y complicada de entender, porque entonces corre el riesgo de perder todo el propósito de la política. Debe diseñarse de una manera simple, para que todos los empleados lo entiendan. Además, es más fácil recordar cuando es más corto, lo que reduce el riesgo de errores. Por lo tanto, una política debe tener algunos principios clave y luego una o más rutinas para cumplirlos.
Una rutina describe cómo el personal debe trabajar en la práctica para cumplir con lo que se aplica de acuerdo con una política.
Una política de seguridad de TI es una medida de seguridad organizacional
Una política de seguridad de TI es un documento que proporciona un marco para la forma en que la empresa debe trabajar en el entorno de TI de acuerdo con RGPD. Tenga en cuenta que no es un manual, como una rutina, sino más bien un documento de gobierno estratégico que es más completo. Las empresas deben tomar medidas técnicas y organizativas para cumplir con el RGPD y una política de seguridad de TI es una buena medida de seguridad organizacional.
Beneficios de establecer una política de seguridad de TI
- Más fácil para que los empleados entiendan lo que la empresa está buscando.
- Reduce el riesgo de violaciones de datos personales.
- Aclara quién recibirá qué permisos.
- Ayuda a la empresa a comprender qué rutinas pueden ser apropiadas para cumplir con la visión de la política.
- Una forma de demostrar el cumplimiento de RGPD en caso de una supervisión.
Rutinas que son buenas para que las empresas tengan para cumplir con la política de seguridad de TI en la práctica
- Compartir datos internamente.
- Incorporación y desincorporación del personal.
- Borrado de datos personales.
- Gestión de contraseñas.
Elementos clave que son buenos para incluir en una política de seguridad de TI
Finalidad
Explique el propósito de la política de seguridad de TI y por qué es importante tener una buena seguridad de TI. Además, es bueno incluir cómo la empresa debe proteger los datos personales a lo largo de su ciclo de vida, desde la recopilación hasta el borrado. Incluya también que las evaluaciones de riesgos y la privacidad desde el diseño son la base de la seguridad.
Funciones y responsabilidades
Es bueno ser claro en la política sobre los roles y responsabilidades dentro de la empresa. Por ejemplo, qué departamentos son responsables de qué, qué responsabilidad tienen los empleados para seguir la política, la responsabilidad y el rol de la gerencia, etc. Al tener roles claros, reduce el riesgo de brechas de seguridad y agiliza el trabajo.
Gestión de la elegibilidad
Es útil aclarar que los permisos de acceso deben basarse en el principio de «necesidad de conocer», no en el de «buena información». En otras palabras, solo se debe dar acceso a las personas que necesitan acceder a datos personales para llevar a cabo sus tareas.
Manipulación de diferentes dispositivos
Una política de seguridad informática debe incluir la gestión de dispositivos móviles, como el uso de teléfonos móviles privados u ordenadores portátiles con fines relacionados con el trabajo. Es importante tener en cuenta que los dispositivos móviles son una causa común de violaciones de datos personales. Por lo tanto, es bueno incluir la importancia de un uso adecuado de acuerdo con los procedimientos internos y los objetivos generales de la política.
Tratamiento de las violaciones de la seguridad de los datos personales
Las empresas deben manejar correctamente los incidentes de datos personales de acuerdo con RGPD, ya que la empresa corre el riesgo de tener que pagar una multa de lo contrario. Por lo tanto, es bueno incluir la importancia de esto, lo que constituye una violación de datos personales, cómo se debe informar, informes internos y externos, etc.
Registro
El registro es una buena acción que la mayoría de las empresas deben tomar. Por ejemplo, registrar el acceso a varios sistemas de TI. Además, es importante proteger los registros de la manipulación.
Medidas técnicas de seguridad
Gestión de contraseñas
La administración de contraseñas es una medida de seguridad importante con la que todas las empresas deben trabajar. Por lo tanto, la política de seguridad informática debe incluir la importancia de la gestión segura de contraseñas.
Cifrado
Si la empresa encripta datos personales, debe indicarse en la política de seguridad de TI. Esto suele ocurrir principalmente cuando se procesan datos personales sensibles u otros datos personales sensibles a la privacidad.
Antivirus y firewalls
La protección antivirus y los firewalls son medidas técnicas de seguridad comunes y deben incluirse en las políticas de seguridad de TI si se usan.
Copia de seguridad
Los archivos de copia de seguridad son una medida técnica de seguridad común para evitar la destrucción de datos personales. Una política de seguridad de TI debe incluir intervalos para la copia de seguridad, la asignación de responsabilidades y qué soluciones de copia de seguridad tiene la empresa.
Medidas de seguridad organizativas
Acuerdo de procesamiento de datos
Las empresas a menudo transfieren datos personales a un tercero. Además, en algunos casos puede ser un operador de un tercer país. Es importante garantizar que esto se haga de conformidad con el RGPD. Esto significa, entre otras cosas, que la empresa, que es el controlador de datos, debe celebrar un acuerdo de procesamiento de datos por escrito (DPA) cuando contrata a un procesador de datos.
Educación
Los empleados deben recibir algún tipo de formación para poder desempeñar sus funciones correctamente y de conformidad con la legislación aplicable. Además, deberían recibir más formación cuando, por ejemplo, estén a punto de asumir un nuevo puesto de trabajo. La política de seguridad de TI debe incluir qué roles pueden necesitar qué capacitación.
Pautas de uso de Internet
La mayoría de los empleados utilizan Internet en su trabajo. Por ejemplo, envíe correos electrónicos o busque información en línea. Es importante enseñar a los empleados cómo usar Internet de manera segura a través de pautas escritas, para que puedan evitar estafas de phishing y visitas a sitios web peligrosos.
APRENDE MÁS
Rutinas de contraseñas que pueden ser buenas para que las empresas tengan
Es bueno que los empleados utilicen contraseñas seguras, ya que esto proporciona una buena base para proteger los datos personales que la empresa procesa del acceso no autorizado. Cuanto más importantes sean los datos personales procesados, mejor será la gestión de contraseñas. Por ejemplo, puede ser apropiado implementar una autorización en dos pasos o iniciar sesión a través de datos personales biométricos.