Tiempo estimado: 15 min
Justificación
Uno de los aspectos medulares de cualquier organización es la manipulación de información, ya que cualquier proceso que se realice puede ser abstraido a la generación, procesamiento, almacenamiento y publicación de información.En el caso de organizaciones que realizan activismo o documentación en el área de Derechos Humanos existe una variedad importante de tipos de información cuyo compromiso puede desencadenar consecuencias negativas para la organización, sus miembros o actores relacionados. La idea de desarrollar una política de protección de información es establecer una serie de lineamientos que ayuden a tratar cada pieza de información de la forma más adecuada posible y acorde a la sensibilidad de la misma.
Datos de entrada
- Mapa de datos desarrollado en la sección Mapeo y clasificación de información
- Mapa de flujo de datos desarrollado en la sección Mapeo de flujos de información
- Plantilla 1: Política de protección de información abierta en un equipo para alimentarla en el transcurso de la actividad.
Conceptos Asociados
Niveles de sensibilidad de información | Es una escala por la cual se establece qué tanto una pieza de información se considera delicada y que necesita ser protegida. Hay muchas escalas propuestas y su aplicación depende de las necesidades de la organización. |
Principio del minimo privilegio | Propone que la información debe ser accesible sólo a aquellas personas que necesitan usarla dentro de sus procesos habituales, disminuyendo la superficie de ataque y por consiguiente los riesgos asociados al reducir al mínimo la exposición de la información. Este principio se relaciona con el "principio de necesidad de saber" (o need to know en Inglés). |
Responsables de la información | Son aquellas personas con competencias directas en la manipulación de la información. En algunos marcos de referencia se dividen dependiendo de quién crea la información, quién la manipula, quién la custodia, quién la destruye y quién es responsable de su compromiso entre otros esquemas. En este manual se intenta abstraer al máximo estas diferenciaciones pensando en grupos de trabajo pequeños y en la simplificación de las políticas de seguridad, sin embargo, si la organización cree conveniente hacer este tipo de diferenciaciones se recomienda adaptar las políticas descritas a esta necesidad. |
Disposición de la información | Se refiere a las técnicas utilizadas para deshacerse de piezas de información una vez que ha cumplido su vida útil o que debe ser destruida por motivos de regulaciones y seguridad. Generalmente estas técnicas tienen diferente nivel de complejidad y disponen de la información de formas más o menos seguras, especialmente en términos de su posible reconstrucción después de dispuesta. |
Políticas a desarrollar
- Política de Protección de Información Abstrae contenidos existentes en las siguientes políticas descritas en marcos de referencia estandarizados:
- Política de clasificación de información: Define criterios por los cuales se determina el nivel de sensibilidad de la información manejada y lineas estratégicas de manejo de esta información a los niveles de sensibilidad propuestos. También define usualmente los responsables del manejo y resguardo de las piezas de información trabajadas en la organización.
- Política de retención de datos: Define entre otras cosas el tiempo que la organización puede conservar cierto tipo de información sensible, cómo disponer de ella, cuando se desincorpora, en qué dispositivos, qué prácticas de seguridad deben aplicarse a cada tipo de información sensible, y cómo se procesa la información sensible de acuerdo a regulaciones legales y mejores prácticas.
- Politica de acceso a datos: Esta define las piezas de información que pueden ser accedidas y manipuladas por los distintos grupos y personas de la organización, en función de disminuir las posibilidades de compromiso de la misma y de hacer más eficientes los flujos de información dentro de los procesos de la organización.
Preguntas guía
- ¿Cuál es el alcance de la política propuesta?
- ¿Qué niveles de sensibilidad tiene la información manejada por la organización y cómo se describen?
- ¿Cómo se puede clasificar cualquier pieza de información en los niveles de sensibilidad propuestos?
- ¿Quiénes son los responsables del resguardo de la información?
- ¿Quiénes deben tener acceso a la información y quienes no?
- ¿Qué medidas se deben tomar para manipular información según su nivel de sensibilidad? (Plantear conceptos clave)
- ¿Qué herramientas, prácticas y dispositivos específicos se deben emplear para manipular la información según su nivel de sensibilidad?
1. Alcance de la política
En esencia, el alcance asociado a esta política abarca dos aspectos:
- Las personas del equipo afectadas: Pudiendo abarcar por ejemplo todos los miembros del equipo, sólo algunos de ellos (equipo de periodismo de investigación, encargados de manejar denuncias, etc.), personas puntuales o incluso todos los miembros de la organización y cualquier aliado externo que colabore con el equipo en ciertos temas.
- Los tipos de datos considerados: Teniendo como opciones sólo ciertos tipos de información manejados por la organización o todas las piezas de información manejadas por el grupo. Este ejercicio está diseñado para considerar el segundo caso, sin embargo, se puede manejar como mejor juzgue el grupo siempre que se pueda desarrollar la actividad con fluidez.
Se propone discutir ambos aspectos y colocar el resultado de la discusión en la sección (1) de la plantilla.
2. Niveles de sensibilidad de la información manejada
¿Qué niveles de sensibilidad tiene la información manejada por la organización y cómo se describen? ¿Cómo se puede clasificar cualquier pieza de información en los niveles de sensibilidad propuestos?
- Revisar la matriz de consecuencias de la actividad de mapeo y clasificación de información ya sea en físico o transcrita en digital.
- Introducir algunos tipos de información en esquemas de clasificación utilizados habitualmente en seguridad de la información y proponer mantenerse con los niveles de impacto desarrollados.
- Frecuentemente se emplean las clasificaciones de información pública/confidencial/secreta/interna/regulatoria entre otras, tomando en cuenta el daño que puede generar su compromiso. En términos de nuestra metodología, los mismos niveles de impacto propuestos en secciones anteriores pueden llenar este espacio y por eso se proponen por motivos de simplicidad.
- Unificar en una sola celda de tabla el contenido de cada fila por nivel de impacto desarrollado y vaciar esta información en la sección (2) de la plantilla como muestra el gráfico.
Niveles de impacto de la información
3. Responsables de la información
¿Quiénes son los responsables del resguardo de la información?
Cuando se maneja información con diferentes niveles de sensibilidad es importante garantizar que hay medidas de seguridad puestas en marcha para proteger esta información, y se vuelve relevante saber quiénes son los responsables de implementar y mantener las medidas de seguridad propuestas. Aunque algunos marcos de referencias estandarizados proponen varias figuras relativas a la responsabilidad sobre la información, se propone sólo emplear la figura del custodio de la información. Dependiendo de las necesidades y dinámicas de la organización hay varias aproximaciones a la determinación de quiénes son los custodios de la información, algunos ejemplos son:
- Las personas que generan los objetos de información.
- Coordinadores de departamentos o áreas asociadas a los objetos de información.
- Las personas que en cada momento manipulan la información.
- Personas específicas designadas caso a caso.
- Otros criterios de asignación.
La propuesta es presentar estas opciones y discutir cual de ellas aplica mejor para la organización y dejarlo por escrito en la sección (3) de la plantilla.
4. Restricción base de acceso a la información
¿Quiénes deben tener acceso a la información y quienes no?
En el marco del establecimiento de políticas de protección de la información, es importante considerar el control del acceso a la misma por parte del equipo, esto se logra teniendo listas o reglas de control de acceso que determinan quiénes pueden acceder a cada tipo de información y quienes no. Usualmente estas consideraciones se incluyen en una Política de acceso a datos, sin embargo, este tipo de políticas se fundamentan en el principio del mínimo privilegio, en donde se propone que sólo las personas que necesitan manipular cierta información sean capaces de acceder a ella por regla, minimizando las posibilidades de compromiso de la misma.
La primera premisa que se quiere validar con el grupo es si ellos estarían de acuerdo con seguir formalmente este principio, se espera que el grupo esté de acuerdo pero vale la pena explorar cualquier escenario en donde se dificulte. En estos casos se debe dejar claro que las probabilidad de compromiso de la información puede subir considerablemente. El principio del mínimo privilegio se tiene escrito por defecto en la sección (4) de la plantilla.
4a. Políticas de control de acceso (opcional)
En el caso en que la organización maneje información muy sensible, se muestre interesada en profundizar en el control de acceso a información y se disponga del tiempo, se puede desarrollar una primera versión de una matriz de control de acceso. En la sección (4a) de la plantilla hay un ejemplo de matriz en donde se colocan como columnas diferentes departamentos, áreas, coordinaciones o inclusive cargos específicos dependiendo de la estructura y dinámica de la organización, y como filas piezas de información con altos niveles de sensibilidad, y básicamente se describe qué áreas o personas pueden acceder a qué piezas.
Matriz de control de acceso a datos
5. Directivas generales de manipulación de información
¿Qué medidas se deben tomar para manipular información según su nivel de sensibilidad?
Usando la matriz desarrollada en la actividad de flujos de información se pueden recopilar los criterios generales descritos para cada nivel de impacto y describirlos en la sección (5) de la plantilla.
Es importante que en esta sección no se escriban herramientas o servicios específicos, sino las características de seguridad asociadas que permitan en el caso de cambiar una herramienta, tener el criterio para seleccionar una nueva que cumpla con las mismas o mejores prestaciones. Por ejemplo: no colocar para comunicaciones Signal sino Servicios de chat con cifrado de extremo a extremo.
Consideraciones generales por nivel de impacto
6. Directivas específicas de manipulación de información
¿Qué herramientas, prácticas y dispositivos específicos se deben emplear para manipular la información según su nivel de sensibilidad?
De forma similar al paso anterior, para cada nivel de impacto o sensibilidad se recopilarán los dispositivos, otros lugares de reposo de la información y canales de comunicación que se seleccionaron para cada nivel, y así colocarlos en las tablas de la sección (6) de la plantilla como se indica. Se deja el espacio para colocar las consideraciones necesarias que se necesiten cumplir en cada caso si aplica.
Por simplicidad, si la organización y el facilitador lo consideran conveniente, se pueden considerar sólo los niveles de impacto más altos, dado que los niveles más bajos pueden requerir más tiempo y esfuerzo para cubrir la información solicitada en la plantilla, en ese caso las tablas para niveles bajo y medio se pueden borrar de la plantilla.
Directivas de seguridad por nivel de impacto
Aspectos excluidos en la política
- Tiempo de vida de la información: donde se especifique por cuánto tiempo la organización retendrá ciertos tipos de información y qué tipo de procesamiento se necesitará realizar antes de desincorporarlos o borrarlos.
- Disposición de la información: cómo se debe eliminar la información según su tipo de sensibilidad, con la intención de evitar la reconstrucción de esta pieza de información o el rastreo de la existencia de los datos.
- Detalle de riesgos asociados a esta política: en donde se elabore en qué tipo de riesgos se están atacando con el cumplimiento de esta política.
- Responsabilidades puntuales: donde se pueden especificar responsabilidades que escapan de ser custodio de la información y pueden ser relevantes para la organización.
- Plan de capacitación en los conceptos, técnicas y herramientas propuestas en la política.