Cómo desarrollar una política de seguridad digital y privacidad
Una vez que las DPF y los puntos focales han creado el plan de acción, es hora de redactar un borrador de una política de seguridad digital y privacidad. Las DPF pueden encontrarse con los distintos escenarios:
- La organización acompañada ya dispone de un borrador de política de seguridad digital y privacidad antes del acompañamiento y uno de los objetivos es mejorarlo.
- Las estrategias de seguridad se aplican a nivel interno pero no están documentadas. Los objetivos acordados son el primer paso para crear una política inicial para el equipo.
- No se han establecido prácticas de seguridad a nivel colectivo, únicamente existen algunas iniciativas individuales, que tampoco están documentadas.
Sea cual fuere el escenario, la creación de una política de seguridad digital y privacidad implica varios pasos. Las DPF deben seguirlos para asegurarse de que acompañan a la organización en su desarrollo de una política de seguridad digital y privacidad factible de ser implementada en su contexto y circunstancias.
Aunque para muchas organizaciones una política de seguridad digital y privacidad es un formato y denominación que resulta adecuada, esto depende enteramente de la documentación interna y de la cultura de acuerdos de cada organización. Mientras que en DDP solemos seguir la jerarquía de: política → procedimiento (procedimientos normalizados de trabajo (PNT)) → directriz, otras organizaciones quizá prefieran crear una política de seguridad general y limitar la planificación de la seguridad digital a un procedimiento. Además, la forma de nombrar los documentos debe adaptarse a la redacción y la cultura de cada organización.
Pasos necesarios para la elaboración de la política
Estos son los pasos que puede dar una organización para elaborar su propia política de seguridad digital y privacidad. Las DPF acompañan a la organización en cada uno de estos pasos. Es importante que no la redacten sino que asesoren a los puntos focales durante el proceso.
Identifica el alcance
El primer paso es identificar el alcance de la política de seguridad digital y privacidad. Hay que determinar qué información y activos deben protegerse y qué amenazas potenciales pueden existir. Un análisis de riesgos minucioso o los resultados de una evaluación de seguridad pueden ser útiles para la formulación de la política.
Define la política
A continuación, es preciso definir la política de seguridad digital y privacidad, es decir: identificar las normas y procedimientos que rigen la protección de la información y de los activos. Este paso puede incluir políticas de contraseñas, procedimientos de control de acceso y protocolos de respuesta a incidentes. En definitiva, la política de seguridad debe responder al modelo de amenazas de la organización en función de las vulnerabilidades y amenazas identificadas.
Recopilar información de las distintas partes involucradas
Es importante recabar información de las distintas partes involucradas en la organización: equipo, responsables, personal informático y personal jurídico. Sus aportes pueden ayudar a garantizar que la política sea eficaz y que cubra todos los aspectos.
Redacta la política
Una vez definida la política, se puede empezar a redactar. Las DPF apoyarán al punto focal a convertir la política en un documento formal que pueda ser distribuido a todas las partes implicadas. A la hora de redactar, no es necesario partir de cero, existen varios recursos disponibles que pueden facilitar esta tarea.
Revisar y aprobar la política
En la medida de lo posible, la política debe ser revisada por el personal jurídico y de informática para garantizar su conformidad legal y su viabilidad técnica. Una vez que se hayan realizado los cambios necesarios, deberá ser aprobada también por la dirección de la organización. Si la organización acompañada tiene un procedimiento de toma de decisiones distinto, la aprobación de la política debe seguirlo.
Comunica la política
La política debe transmitirse a todas las partes implicadas, ya sea mediante sesiones de formación, reuniones, un correo electrónico para compartir el documento o, en algunos casos, a través de un soporte visual.
Implementación de la política
La política debe implementarse a través de un seguimiento continuo y evaluaciones periódicas. Para ello se pueden utilizar herramientas de seguridad y realizar revisiones periódicas para garantizar que todo el equipo cumple ella.
Una forma práctica de poner en marcha el cumplimiento de la política es que todas las personas del equipo firmen un reconocimiento de haberla leído y de su intención de cumplirla. Para las nuevas contrataciones, se adjuntará como anexo al contrato.
Actualización de la política
La política de seguridad digital y privacidad debe actualizarse de forma periódica para reflejar los cambios tecnológicos, las nuevas amenazas y los cambios organizativos. También puede actualizarse cuando se produzca un incidente de seguridad importante, en especial cuando se identifique una laguna en la política a raíz de un incidente.
Lecciones prácticas
- Aunque es posible crear la documentación de seguridad digital conforme a los flujos de trabajo internos y la documentación de seguridad existente, también se pueden utilizar plantillas, herramientas y recursos ya existentes.
Recursos
- Securing Organizations with Automated Policymaking (SOAP) (en inglés). Herramienta gratuita y sencilla que facilita a las organizaciones de la sociedad civil la elaboración de mejores políticas de seguridad.
- Threat Check, de Deutsche Welle Akademie (en inglés). Una herramienta en línea que ayuda a identificar posibles amenazas en línea y a desarrollar recomendaciones de actuación para proteger tu organización (de medios de comunicación).
- Security Planner, de Consumers Report (en inglés). Proteger los datos con un plan personalizado.