RGPD
Procedimientos de contraseña para empleados
Vivimos en una sociedad cada vez más digitalizada, donde prácticamente todos los empleados de las empresas necesitan acceso a varios sistemas que requieren contraseñas para acceder. Por lo tanto, es bueno tener procedimientos de contraseña para los empleados, para regular la administración de contraseñas.
El propósito de establecer procedimientos de contraseña para los empleados
Las contraseñas seguras proporcionan una buena base para proteger los datos personales procesados contra el acceso no autorizado. Las contraseñas seguras a menudo se consideran la primera línea de defensa. Aquí hay algunos propósitos para establecer procedimientos de contraseña para los empleados:
- Garantizar que las contraseñas de todos los empleados de los sistemas digitales de la empresa mantengan un alto nivel de seguridad y calidad.
- Aclarar a todos los empleados cómo administrar sus contraseñas, de modo que se reduzca el riesgo de intrusión.
- Proteger los sistemas protegidos con contraseña de la empresa contra el acceso no autorizado a los contenidos.
- Ayudar a la empresa a garantizar el cumplimiento del principio de integridad y confidencialidad del artículo 5, apartado 1, letra f), del.
Las empresas deben evitar las violaciones de datos personales
Las empresas evitarán las violaciones de la seguridad de los datos personales adoptando las medidas de seguridad técnicas y organizativas adecuadas. Muchas violaciones de datos se producen debido a una gestión de contraseñas débil. Por eso es bueno establecer procedimientos de contraseña para los empleados y asegurarse de que utilizan contraseñas seguras. Además, la empresa debe establecer una política general de contraseñas.
La política y los procedimientos no son lo mismo
Puede ser fácil confundir la diferencia entre una política y un procedimiento. Una política es un documento de política general en el que la empresa describe lo que se aplica, el objetivo, los principios según los cuales trabajan y la dirección estratégica. En cambio, los procedimientos son instrucciones que describen lo que los empleados deben hacer prácticamente para lograr los objetivos de la política. Puede ser apropiado en algunos casos tener varios procedimientos para seguir una política.
Ayuda a los empleados a saber cómo proteger sus cuentas en su función laboral
Son los empleados de la empresa los que trabajan con el procesamiento de datos personales a diario. Por lo tanto, es importante que se les proporcionen las herramientas adecuadas para poder hacerlo de conformidad con el RGPD. Por ejemplo, el empleador debe proporcionarles la información adecuada, por ejemplo, sobre la gestión adecuada de contraseñas mediante el establecimiento de procedimientos internos de contraseñas por escrito para los empleados.
Gestión de contraseñas al procesar datos personales importantes
Al procesar datos personales importantes en sistemas digitales, como datos personales sensibles u otros datos personales sensibles a la privacidad, es una buena idea implementar el inicio de sesión mediante autenticación en dos pasos o datos biométricos (como huellas dactilares o reconocimiento facial).
Autenticación en dos pasos para sistemas con datos personales sensibles
Es bueno que las empresas tengan autenticación en dos pasos al iniciar sesión en sistemas que contienen datos personales confidenciales. Lo mismo se aplica si se procesan otros datos personales sensibles a la privacidad en el sistema. Un ejemplo de autenticación en dos pasos es que se envía un código al número de teléfono móvil del usuario registrado en el sistema, cuando el usuario intenta iniciar sesión con una contraseña. De esta manera, puede evitar que cualquier persona no autorizada, que acceda a la contraseña, entre en el sistema.
Inicio de sesión de datos personales biométricos
Puede ser apropiado tener un inicio de sesión a través de datos personales biométricos en ciertos casos. Ejemplos de procesamiento de datos biométricos son cuando se inicia sesión en los sistemas a través de huellas dactilares, reconocimiento facial o lectura del iris. Si el usuario autorizado tiene que utilizar uno de sus datos personales biométricos para iniciar sesión en el sistema, es difícil para las personas no autorizadas acceder al sistema. Tenga en cuenta que los datos personales biométricos constituyen datos personales sensibles en el sentido del artículo 9 del RGPD.
¿Qué pueden contener los procedimientos de contraseña?
Requisitos de resistencia
Es importante incluir requisitos de fuerza para que sea más fácil para los empleados saber si han elegido o no una contraseña suficientemente segura. Por ejemplo, las contraseñas deben contener al menos 15 caracteres, incluidas letras mayúsculas y minúsculas, caracteres especiales, etc. Además, es bueno prohibir las contraseñas que son demasiado fáciles de adivinar y las que están vinculadas a la información personal del empleado, como el nombre y la fecha de nacimiento.
Cambios de contraseña
Cambiar contraseñas no es raro y, por lo tanto, es importante regularlo. Por ejemplo, cuándo se deben cambiar las contraseñas (como la sospecha de exposición) y cómo se debe actualizar internamente, para que otros empleados que necesitan acceso a la contraseña la obtengan.
Prohibición
Es importante aclarar lo que está prohibido, para que sea fácil para los empleados entender las prohibiciones. Por ejemplo, varias personas no pueden usar la misma cuenta o compartir una cuenta de usuario, a menos que el empleador lo autorice explícitamente.
Autenticación multifactor
En algunos casos, puede ser útil tener autenticación multifactor, como cuando se inicia sesión en sistemas con datos personales importantes. Es bueno aclarar cuándo es apropiado activarlo. Tenga en cuenta que esta es una de las medidas de seguridad más efectivas que la compañía puede tomar para proteger las cuentas de ser secuestradas.
Almacenamiento y protección
Es importante almacenar los datos personales de manera suficientemente segura. Por ejemplo, hay varios servicios digitales que ofrecen una gestión fluida de contraseñas a través de métodos cifrados. Recuerde no escribir contraseñas en combinación con nombres de usuario en ubicaciones desprotegidas, notas post-it en la oficina o similares.
Dispositivos móviles
Los dispositivos móviles son comunes en las empresas y no es raro que se utilicen para procesar datos personales. En tales casos, es importante contar con una protección adecuada. La autenticación biométrica puede ser apropiada, especialmente si hay datos personales confidenciales almacenados dentro del dispositivo móvil (como un teléfono móvil o una computadora portátil de trabajo).
Restablecer
En algunos casos, los empleados pueden necesitar restablecer su contraseña. En tales casos, es útil regular cómo se produce la identificación y las reglas para enviar enlaces de recuperación.
Sospecha de exposición
Es importante que los empleados sepan cómo actuar en caso de sospecha de exposición a contraseñas. Por ejemplo, cambiar la contraseña inmediatamente, documentarla y, si es posible, incluir una descripción de cómo ha podido ocurrir la exposición, ya que esto puede ayudar a la empresa a prevenir eventos similares en el futuro.
Educación
Es bueno aclarar en los procedimientos internos de contraseña que todos los empleados deben tomar las medidas adecuadas para proteger sus contraseñas. Además, es bueno incluir que los nuevos empleados reciban capacitación en el proceso de incorporación. Por ejemplo, cómo evitar ser víctima de estafas de phishing.
APRENDE MÁS
La Política de Privacidad es otra política que puede ser útil establecer
Una política de privacidad es un documento de gobierno interno que ayuda a los empleados de la empresa a saber cómo actuar de acuerdo con el RGPD. No es lo mismo que un aviso de privacidad, que se dirige externamente a los interesados. En cambio, una política de privacidad ayuda a crear una buena estructura dentro del trabajo de protección de datos de la empresa, que puede ayudar a la empresa y a los empleados a cumplir las normas del RGPD.