Cualquier entidad tiende a manejar una cantidad de información sensible de sus usuarios; tales como datos personales, datos de donaciones y/o registros confidenciales de las personas beneficiarias. Proteger esta información contra el acceso no autorizado es crucial para mantener la confianza de los usuarios, la reputación de la ONG y el cumplimiento de las regulaciones de protección de datos.
¿Qué medidas debemos adoptar?
Algunas de las medidas de seguridad que son adecuadas y que se recomienda implementar para proteger a los usuarios y su información pueden ser:
- Implementar una política de seguridad de datos.
Es fundamental contar con una política de seguridad de datos que establezca claramente los procedimientos para la recolección, almacenamiento, uso y eliminación de datos. La política debe definir roles y responsabilidades, medidas de seguridad técnicas y organizativas, y protocolos para responder a incidentes de seguridad.
- Control de acceso.
- Restringir el acceso a los datos: Limitar el acceso a la información sensible solo al personal autorizado es esencial. Se deben utilizar mecanismos como contraseñas seguras, autenticación multifactor y control de roles para garantizar que solo las personas adecuadas puedan acceder a la información confidencial.
- Gestión de contraseñas: Implementar una política de contraseñas seguras que requiera contraseñas complejas y únicas para cada cuenta de usuario. También se debe habilitar la autenticación de dos factores para agregar una capa adicional de seguridad.
- Control de dispositivos: Adoptar medidas para controlar el acceso a los dispositivos utilizados para acceder a los datos de la ONG. Esto puede incluir el uso de software de seguridad, la restricción de dispositivos no autorizados y la implementación de políticas de uso de dispositivos.
- Protección de datos.
- Cifrado de datos: Encriptar los datos en reposo y en tránsito para protegerlos en caso de robo o pérdida de dispositivos o medios de almacenamiento.
- Pseudonimización y anonimización: Considerar la pseudonimización o anonimización de datos personales cuando sea posible para reducir el riesgo de identificación de individuos.
- Eliminación segura de datos: Eliminar los datos personales de manera segura cuando ya no sean necesarios o cuando se cumpla el plazo de retención establecido en la política de seguridad de datos.
- Seguridad de la red y la infraestructura.
- Firewall: Implementar un firewall para filtrar el tráfico de red y bloquear accesos no autorizados.
- Red privada virtual (VPN): Utilizar una VPN para cifrar el tráfico de red cuando los usuarios se conectan de forma remota.
- Actualizaciones de software: Instalar actualizaciones de seguridad para el sistema operativo, el software de gestión de datos y las aplicaciones utilizadas para acceder y procesar datos.
- Segmentación de red: Segmentar la red para aislar los datos sensibles de otros sistemas y redes.
- Conciencia y formación del usuario.
- Capacitar al personal sobre seguridad de datos: Cualquier persona del equipo debe estar capacitada sobre la importancia de la seguridad de datos y las prácticas para proteger la información confidencial. La capacitación debe cubrir temas como la creación de contraseñas seguras, la identificación de phishing y malware, y la notificación de incidentes de seguridad.
- Sensibilizar a los usuarios sobre los riesgos cibernéticos: Informar al propio/a usuario/a sobre los riesgos cibernéticos y cómo pueden protegerse, como crear contraseñas seguras, evitar hacer clic en enlaces sospechosos y mantener el software actualizado.
- Monitoreo y respuesta a incidentes.
- Monitorear la red y los sistemas: Implementar sistemas de monitoreo para detectar actividades sospechosas e incidentes de seguridad.
- Investigar y responder a incidentes: Tener un plan de respuesta a incidentes para investigar y responder rápidamente a cualquier violación de seguridad.
- Notificar a las partes afectadas: Notificar a las partes afectadas de cualquier incidente de seguridad que pueda poner en riesgo su información personal.
- Cumplimiento de las regulaciones de protección de datos.
Las organizaciones deben cumplir con las leyes y regulaciones de protección de datos aplicables en su región, como el RGPD en la Unión Europea. Estas leyes establecen requisitos específicos para la recolección, almacenamiento, uso y eliminación de datos personales.
- Auditorías de seguridad periódicas.
Realizar auditorías de seguridad periódicas para identificar y corregir vulnerabilidades en los sistemas y procesos de seguridad de datos. Se recomienda realizar auditorías al menos una vez al año o con mayor frecuencia si la ONG maneja datos altamente sensibles.
¿Por dónde empiezo?
Si bien es cierto que la implementación de un sistema de seguridad completo puede parecer abrumadora, existen pasos iniciales que las ONG pueden tomar para comenzar a proteger sus datos:
A. Sensibilizar y formar.
✔️Capacitar al personal: Es fundamental que las personas que forman parte de la ONG comprendan la importancia de la seguridad de los datos y las prácticas para proteger la información confidencial. La capacitación debe cubrir temas como la creación de contraseñas seguras, la identificación de phishing y malware, la notificación de incidentes de seguridad y las políticas de uso de dispositivos.
✔️Informar al propio usuario: Sensibilizar a los usuarios sobre los riesgos cibernéticos y cómo pueden protegerse, como crear contraseñas seguras, evitar hacer clic en enlaces sospechosos, mantener el software actualizado y denunciar actividades sospechosas.
B. Evaluar el entorno.
✔️Realizar una auditoría de seguridad: Identificar los activos de datos de la ONG, los riesgos potenciales y las vulnerabilidades existentes. Esto ayudará a determinar las medidas de seguridad prioritarias que se deben implementar.
✔️Evaluar las regulaciones de protección de datos.
C. Implementar medidas básicas de seguridad.
✔️Control de acceso.
✔️Protección de datos.
✔️Seguridad de la red y la infraestructura: Implementar un firewall, utilizar una VPN para conexiones remotas, instalar actualizaciones de software regularmente y segmentar la red para aislar los datos sensibles.
D. Establecer procesos y políticas.
✔️Desarrollar una política de seguridad de datos: Documentar claramente los procedimientos para la recolección, almacenamiento, uso y eliminación de datos. La política debe definir roles y responsabilidades, medidas de seguridad técnicas y organizativas, y protocolos para responder a incidentes de seguridad.
✔️Implementar un plan de respuesta a incidentes: Establecer un plan para investigar y responder rápidamente a cualquier violación de seguridad. El plan debe definir los pasos a seguir, las responsabilidades de cada persona involucrada y los canales de comunicación para notificar a las partes afectadas.
Es importante recordar que la seguridad de los datos es un proceso continuo que requiere una vigilancia y una actualización constantes.
Enlaces de interés: Data Protection Regulation