Una Guía para Líderes de Voluntarios sobre la Privacidad y la Seguridad de Datos

En el transcurso de las últimas tres o cuatro décadas, la forma en que lideramos y apoyamos a nuestros voluntarios ha cambiado drásticamente. Lo que comenzó como una especie de trabajo artístico para conectarse de manera eficaz con aquellos dispuestos a dar su tiempo gratis se ha convertido en una profesión con nuevas prioridades que requieren el perfeccionamiento de nuevas habilidades.

Según Andy Fryar, esta "evolución" ha tenido dos etapas significativas:

• La década de 1970 y principios de la de 1980 vieron el liderazgo de voluntarios como una  "Profesión de personas", donde la conexión de persona a persona era la cualidad más importante que podía tener un Gerente de Voluntarios.
• A finales de la década de 1980 y principios de la de 1990, las prioridades de muchas organizaciones cambiaron, y términos como "riesgo", "responsabilidad" y "litigio" se volvieron más comunes. Y con eso, el enfoque de los líderes de voluntarios cambió para ser mucho más de una "Profesión de papel".

En esta etapa posterior, la participación de los voluntarios se centró más en las políticas y los procedimientos, y la gestión de los datos del voluntariado comenzó a pasar de las solicitudes en papel a las computadoras. En los siguientes 20 años, ha habido muchos más desarrollos, y la mayoría de las agencias ahora adoptan algún tipo de sistema de base de datos electrónica para dirigir, apoyar y reclutar a sus equipos de voluntarios.

Para mantenerse al día, los Gerentes de Voluntarios tuvieron que desarrollar un conjunto de habilidades completamente nuevo ya que los nuevos voluntarios son reclutados en línea; ya que las vacantes en el horario son ocupadas directamente por los propios voluntarios en un sitio web o una aplicación móvil; y ya que tanta comunicación con sus equipos ahora ocurre de forma remota.

Como proveedores de software de Administración de Voluntarios, estamos en una posición privilegiada para trabajar con agencias de todas las formas y tamaños a diario. Y, en su mayor parte, las organizaciones que contratan voluntarios y eligen adoptar un software de Administración de Voluntarios entienden que la seguridad de los datos de los voluntarios que se les confían es esencial. Entienden que la información puede ser robada y que el manejo de información confidencial conlleva una gran responsabilidad. Para aquellos en agencias más grandes, es bueno ver que muchos tienen acceso a un equipo de TI o un Oficial de privacidad que puede ayudarlos a tomar decisiones importantes sobre el manejo y almacenamiento de datos.

Por el contrario, ¡también hemos sido testigos de algunas prácticas terribles! Estas prácticas, en el peor de los casos, podrían dar lugar a demandas y, potencialmente, a una pérdida catastrófica de reputación para la organización para la que trabaja el gerente de voluntarios.

¡Todo esto nos lleva al punto de este artículo!

Aunque el mero hecho de estar conscientes de que los datos deben mantenerse privados y tratarse con sensibilidad está muy bien, ¿cuánto saben y entienden realmente los Líderes de Participación de Voluntarios sobre los pormenores del manejo y la integridad de los datos? ¿Confiamos demasiado en los demás para que nos aconsejen correctamente?

Con el fin de proporcionar una "evolución" continua del conocimiento, ofrecemos los siguientes pensamientos y observaciones para ayudarte a pensar en tus propias prácticas y determinar si podría haber una oportunidad de mejorar.

Selección del Sistema

En este artículo, no solo nos referimos al software de Administración de Voluntarios que has elegido o estás considerando. Los puntos que planteamos en este artículo se prestan a ser ciertos al considerar cualquier software o sistema con el que elijas interactuar que manejará información delicada.

Costo y Condiciones

Por un lado, el viejo dicho de "lo barato sale caro" puede sonar en gran medida cierto al comprar cualquier software, y la mayoría de las veces, cualquier cosa que esté disponible gratuitamente probablemente vendrá con algunas condiciones. Aunque esto no siempre es cierto, es importante revisar y sopesar el acuerdo de licencia de cualquier software al considerar una compra y no basarse solo en el precio.

Algunas preguntas a considerar en este punto inicial pueden incluir:

• ¿Quién es el propietario de tus datos?
• ¿Qué sucede con tus datos si deseas retirarte de tu acuerdo?
• ¿Es probable que tus datos se compartan con terceros para cualquier otro propósito que no sea proporcionarte el servicio al que te has suscrito?
• ¿Qué sucede cuando hay una violación de datos?
• ¿Qué soporte posventa (si corresponde) está disponible?
• ¿Hay algún costo "adicional" que debas considerar después de la compra?

Es importante recordar que cualquier solución a la que llegues será el transporte de los detalles privados y personales de todo tu equipo de voluntarios, por lo que sopesar los pocos dólares que podrías ahorrar contra las consecuencias catastróficas de una violación de datos es un primer paso importante.

Recuerda también que las empresas que cobran por sus servicios tendrán potencialmente una mayor capacidad para reinvertir en niveles más altos de seguridad para proteger tus datos.

Certificación

En el mundo de la privacidad de los datos y todo lo relacionado con Internet, existen muchas certificaciones relacionadas con la seguridad y privacidad de los datos que las empresas que proporcionan software pueden obtener. Algunas son de mayor importancia que otras, mientras que otras no sirven de mucho.

Existen varias certificaciones que pueden garantizar que una organización está haciendo todo correcto con respecto a la privacidad y la seguridad de los datos.  Una que se destaca del resto y es de reputación mundial es una certificación ISO, por lo que esta es una de las primeras cosas que debes buscar.

Además, no tengas miedo de pedirle a cualquier posible proveedor que explique qué significan sus certificaciones si no te queda muy claro. Al final, eres un Gerente de Voluntarios y no un experto en TI o privacidad, así que pide que te expliquen esta información en un lenguaje sencillo.

Del mismo modo, un posible proveedor que no tiene ninguna certificación puede indicarte que tiene muy poco compromiso con la mejora continua de su empresa y con los datos que se guardan en nombre de sus clientes.

Cifrado

Otro término con el que debes familiarizarte es el cifrado.

El cifrado esencialmente determina cómo se pueden ver e interpretar tus datos si son interceptados por piratas informáticos. Esencialmente, los datos cifrados parecen "revueltos" para cualquier pirata informático y les sirven de poco o nada. Pero ¿sabías que hay dos tipos de cifrado?

Mientras que la mayoría de los sitios web y software ofrecen el cifrado de datos durante el tránsito - es decir, mientras se mueven de un lugar a otro en línea, hay un segundo tipo de cifrado igualmente importante llamado cifrado en reposo. El cifrado "en reposo" simplemente significa que si se tuvo acceso a tu base de datos mientras tus datos no estaban en tránsito, los datos continuarán apareciendo en este estado "revuelto" e ilegible.

Compromiso con la Evolución de las Prácticas de Seguridad y la Capacitación

Ya hemos hablado de cómo las empresas de software de buena reputación podrán demostrar rápida y fácilmente que tus datos están seguros y protegidos, y que tendrán un compromiso continuo y transparente con la mejora continua en lo que respecta a estos temas importantes.

Entonces, ¿por qué no debería ser lo mismo para ti, tu programa de voluntariado y la agencia en la que trabajas o en la que te ofreces como voluntario?

En la siguiente sección, hablaremos sobre las políticas y procedimientos que sería bueno que consideraras implementar. Pero las políticas y los procedimientos son, francamente, casi inútiles si no tienes un compromiso general con el desarrollo continuo de tus prácticas de seguridad y la capacitación relacionada.

Desafortunadamente, cuando se trata de seguridad y privacidad, no es simplemente una acción de "configurar y olvidar" o una única conversación con tu equipo de TI.

A medida que la nueva tecnología llega a nuestras manos, a medida que aparecen nuevas amenazas de piratería, a medida que cambian las nuevas certificaciones y las legislaciones locales, y a medida que surgen nuevos rumores, debemos comprometernos a mejorar y comunicar continuamente las prácticas que tenemos implementadas para nuestro programa de voluntarios y dentro de toda nuestra agencia.

Tener una declaración de compromiso sobre cómo tratamos los datos de nuestros voluntarios, y afianzarla en nuestra cultura organizacional, manuales, inducción y capacitación de voluntarios, es fundamental para el éxito continuo.

¡Ser Proactivo!

Una parte clave de cualquier compromiso general para proteger mejor la información privada que tienes sobre tu equipo de voluntarios es la acción de ser proactivo y planificar con anticipación siempre que sea posible. Asiste a seminarios o reúnete regularmente con tus asesores de TI para conocer las últimas amenazas y las prácticas que puedes implementar para la mejora continua en este aspecto.

¡Tranquilidad para todos!

Todo esto te lleva a ti, el Líder de Participación de Voluntarios, a tener ¡una mayor tranquilidad!

Dado que los voluntarios de hoy son mucho más conocedores de la tecnología y conscientes de sus derechos en lo que respecta a la privacidad y la seguridad de los datos, seleccionar sistemas que te permitan proporcionar respuestas claras y concisas a las preguntas e inquietudes que tu equipo de voluntarios pueda tener sobre este tema es una consideración importante.

Políticas y Procedimientos Internos

Hay muchos elementos para salvaguardar la información privada que tienes sobre tus voluntarios. Así que aquí te presentamos una lista inicial de los elementos más comunes que debes asegurarte de considerar o implementar para tu equipo.

• Contraseñas – Considera cuidadosamente las contraseñas que utilizas para acceder a tus datos. Asegúrate de que sean largas, complejas, que contengan una buena variedad de caracteres en mayúsculas y minúsculas y que no se puedan predecir fácilmente (por ejemplo, ¡el nombre de tu mascota!) Además, ¡haz mezclas! Asegúrate de no usar la misma contraseña para todo e incluso considera usar frases de contraseña. La longitud y la complejidad de la contraseña cambian el tiempo que le tomaría a un programa de computadora descifrar tu contraseña. Cuando tienes una multitud de contraseñas que debes recordar, una suscripción a una bóveda de contraseñas (como 1Password) puede ser una gran inversión.

• Autenticación de Dos o Múltiples factores (2FA/MFA) – Esta es una de las "palabras de moda" en el ámbito de la seguridad que escucharás mucho en este momento. Básicamente, significa que cuando inicias sesión en tu sistema, debes verificar tu inicio de sesión en un segundo dispositivo al que solo tú deberías tener acceso (como un teléfono móvil/celular). Esto hace que sea más difícil iniciar sesión para aquellos que pueden tener acceso a tu contraseña, ya que también necesitarían el dispositivo secundario. Siempre recomendamos utilizar un proceso 2FA cuando esté disponible.

• Protección de Fuerza Bruta – Aquí hay otra característica de seguridad que puedes haber encontrado, y una que debes asegurarte de que esté en cada sistema que uses. La fuerza bruta relacionada con las contraseñas es simplemente un programa de computadora que prueba todas las contraseñas posibles hasta que encuentra la tuya. Como puedes ver en la tabla anterior, si usas una contraseña de siete caracteres con solo letras mayúsculas y minúsculas, una computadora moderna solo tardará 22 segundos en probar suficientes combinaciones para encontrar la tuya. La protección de fuerza bruta se interpone a esto, al hacer posible que solo un número limitado de contraseñas se intenten antes de que se bloquee temporalmente. En algunos casos, un sistema puede bloquearte por completo hasta que un administrador vuelva a abrir la cuenta.

• Acceso al Sistema – Considera cuidadosamente quién tiene acceso a tus datos:

  ¿Cuántas personas? De la misma manera en que demasiados cocineros pueden estropear el caldo, demasiados administradores en tus sistemas de bases de datos pueden generar una gran cantidad de problemas. Un problema clave que observamos de vez en cuando es que el acceso se otorga a una amplia gama de administradores que invariablemente cambian de puesto, y donde su acceso al software nunca se elimina; en teoría, esto significa que todavía tienen acceso a los detalles privados de tu equipo. Evaluar cuidadosamente quién debería tener acceso, mantener ese número al mínimo y tener procesos sólidos de "eliminación" son pasos simples pero importantes a seguir.

  Por el contrario, tener muy pocos administradores también conlleva sus problemas. Todos hemos visto "guardianes" que restringen el acceso a cualquier persona ajena a ellos, dejando el programa de voluntarios y la organización en riesgo en caso de que esa persona se enferme, se tome un permiso o ¡sea atropellada por un autobús! Un mínimo de dos personas con acceso es siempre una política de decisión acertada.

  Niveles de acceso – No todos los administradores son iguales. Asegúrate de que tus administradores solo tengan acceso a las áreas del software a las que necesitan tener acceso. Este puede ser un problema particularmente peligroso en el que los administradores que creen que son expertos en TI de repente ingresan al área de configuración o ajustes de tu software y realizan cambios no solicitados que afectan a todos los usuarios.

• Minimización de datos – El principio de minimización de datos es sólido e importante. Muchos líderes de voluntarios tienen un deseo innato de capturar absolutamente todo   lo que alguna vez necesiten saber sobre un voluntario solicitante ¡en la etapa uno del proceso de solicitud! Esto no solo hace que el proceso de solicitud sea largo y complicado, sino que en muchos lugares puede contravenir la legislación local o la política organizativa.

  El principio de minimización de datos esencialmente dice que solo debemos recopilar y mantener información que necesitamos saber sobre nuestros voluntarios para que puedan realizar su trabajo con nosotros, y solo debemos recopilar información en el momento en que realmente la necesitamos. Además, debemos desecharla al momento en que ya no tengamos la necesidad de conservar esos datos.

  Una de las situaciones más comunes que vemos son las organizaciones de voluntarios que recopilan datos de contacto de emergencia de los nuevos solicitantes, incluso antes de que hayan tenido la oportunidad de evaluar la solicitud y decidir si desean continuar con la solicitud del voluntario o no. Una vez que un voluntario deja tu agencia, campos como este deben eliminarse del registro de voluntarios, debido a que ya no es necesario y tu agencia no debe conservarlos.

• Transferencia de datos - El correo electrónico simplemente no es  una forma segura de transferir información personal, y, sin embargo, es uno de los errores más comunes que encontramos. ¡Incluso hemos presenciado detalles personales de voluntarios que se comparten en foros de redes sociales! Asegúrate siempre de que los datos que necesitas transmitir se realicen de forma segura a través de carpetas compartidas seguras como Dropbox o pregunta al proveedor del software que estás utilizando cómo recomienda hacerlo, ya que muchos tienen sus propios mecanismos internos para permitir transferencias en un entorno seguro y protegido.

• Uso de hojas de cálculo – Al acceder y utilizar hojas de cálculo que contengan información personal, asegúrate de nuevo de que se almacenen en carpetas de documentos seguras y no se dejen en la computadora. Cuando llegue el momento en que ya no necesites esa hoja de cálculo, siempre elimina el contenido de la hoja de cálculo y presiona guardar antes de enviarla a la papelera electrónica. Si intentas proteger tus hojas de cálculo con una contraseña, vale la pena señalar que hay productos disponibles comercialmente que, en muchos casos, pueden evitar fácilmente la protección con contraseña en una hoja de cálculo.

• Inicios de sesión remotos – La pandemia ha significado que muchos más de nosotros ahora estamos trabajando no solo desde casa, sino también desde la cafetería local, la biblioteca, el parque o la hamburguesería. Al acceder a tus aplicaciones de base de datos seguras en ubicaciones remotas como esta, es particularmente importante no iniciar sesión en ninguna red Wi-Fi "pública y gratuita", ya que son mucho menos seguras que las que usamos en nuestros hogares y oficinas. Si deseas trabajar de forma remota de esta manera, te recomendamos conectarte a través de tu teléfono personal, que tiene la configuración de seguridad adecuada.

• Prácticas de Tiempo Fuera – Otra consideración importante es considerar qué tan públicamente accesibles podrían ser tus datos si te alejas de tu escritorio por un período de tiempo y no cierras el acceso a los datos. Estar consciente de cerrar cualquier información segura al salir de tu computadora o usar la configuración de seguridad de tu software para que se apague después de unos minutos de inactividad son buenas maneras de proteger tu información privada.

• Plan y política de respuesta a incidentes – Lamentablemente, a pesar de planificar lo mejor posible aún podrías ver una violación de datos o seguridad. Con la cantidad de software malicioso que existe en estos días, también debes tener un plan en caso de esta eventualidad. Si administras un equipo de voluntarios en una organización más grande, es probable que ya exista un plan, pero ¿sabes lo que dice o qué acciones debes tomar para informar a tus voluntarios en caso de que ocurra una violación? Para los lectores que operan en organizaciones más pequeñas, esto puede ser algo a lo que nunca le has prestado atención, pero como el equipo de voluntarios en muchas pequeñas organizaciones sin fines de lucro constituye la gran mayoría de la fuerza laboral en esas mismas agencias, puede ser el momento de considerar cuál sería tu plan de acción, y estar listo para comunicárselo a cualquiera que lo solicite.

• Canales de comunicación de seguridad – Otra gran estrategia es desarrollar un canal de comunicación dedicado a través del cual tu equipo de voluntarios pueda alertarte sobre cualquier posible problema de seguridad que noten en el transcurso de su trabajo como voluntarios. Esto mantiene al canal despejado y garantiza que los problemas se puedan plantear fácilmente y actuar rápidamente.

• Compartir Datos – Finalmente, solo porque un voluntario se haya inscrito para ayudar a tu agencia, no significa automáticamente que debas compartir su dirección, número de teléfono o dirección de correo electrónico con todos los demás miembros del equipo con los que trabajan. ¡Lo mismo aplica para su nombre completo! Considera cuidadosamente cómo compartes horarios y listas con tu equipo y obtén los permisos adecuados que necesitas antes de hacerlo.

Capacitación

Aunque es importante contar con buenas políticas y prácticas de procedimiento, es igualmente importante considerar la capacitación que podrías brindar a tu equipo de voluntarios sobre la protección de tus datos personales, y en particular a los miembros del equipo de voluntarios que pueden ayudarte en puestos en los que tienen acceso a información personal o privada como:

• Soporte administrativo/de base de datos
• Interacción individual con el cliente
• Visitas a domicilio
• Puestos de transporte
• Junta Directiva o fideicomisarios

Hay una serie de temas potenciales que puedes incluir en dicha capacitación, que pueden incluir, entre otros:

• Conocimiento de phishing y otros correos electrónicos fraudulentos. Cómo funcionan y cómo evitarlos
• Proporcionar una comprensión de las leyes generales de privacidad de datos para tu estado/provincia y país
• Cómo lidiar con cualquier información confidencial a la que se enfrentan
• Cómo eliminar y transferir de forma segura la información confidencial que encuentran y necesitan manejar en el curso de su trabajo
• Un recordatorio de las políticas de confidencialidad de tu agencia y lo que incluyen
• Qué acciones pueden esperar en caso de que ocurra una violación de datos

Lo más importante es que no asumas que tu equipo comprende estas cosas ya que es un trayecto continuo, y a medida que los problemas de seguridad y privacidad continúan creciendo y evolucionando, también lo debe hacer la capacitación que brindamos.

Seguro

Dependiendo del tamaño y el alcance de tu organización, también puede valer la pena explorar cómo se vería afectada tu agencia si alguna vez se produjera una violación de la seguridad de los datos y se filtraran los datos personales de tus voluntarios. En resumen, si te demandaran, ¿cuál sería la posición de tu agencia desde la perspectiva de los seguros?

En la actualidad, la seguridad cibernética es una oferta común y puede valer la pena comprender cómo esto puede desarrollarse en el contexto de tu organización.

Debes asegurarte de que cualquier plataforma que contenga datos personales también tenga su propio seguro cibernético.

Resumen

Entonces, ahí está: ¡una guía para el Gerente de voluntarios sobre la privacidad y la seguridad de datos!

Esperamos que este artículo comience el proceso de armarte con la información necesaria que necesitas para hacer las preguntas correctas, identificar las brechas en tus prácticas y políticas actuales y, en última instancia, permitirte a ti y a tu equipo operar en un entorno donde el riesgo se minimiza.

Andy Fryar trabaja como Gerente de Operaciones Nacionales para la compañía de software de Administración de Voluntarios de Better Impact en toda la región de Australasia. También es el fundador y Director de OzVPM (Programa de Administración de Voluntarios en Australasia), una empresa de capacitación y recursos especializada en voluntariado, particularmente en lo que respecta a la región de Australasia. A lo largo de una carrera en la Administración de Voluntarios que abarca más de 30 años, Fryar ha trabajado en una variedad de áreas que involucran voluntarios, incluidos los servicios de salud y discapacidad. También ha iniciado y operado una amplia variedad de empresas sociales.

Tony Goodrow es el CEO de Better Impact, creadores del software de Administración de Voluntarios, Impacto Voluntario, y productor de la Conferencia Híbrida anual de Administración de Voluntarios. Además de trabajar con clientes de software de voluntarios en los cinco continentes, Goodrow es Rotario y fue el Presidente fundador del Hospicio Carpenter en Burlington (Ontario, Canadá). Ha sido reconocido por el Ministerio de Ciudadanía y Cultura de Ontario, y recibió el premio June Callwood por el voluntariado en cuidados de hospicio. Goodrow ha presentado una variedad de temas en conferencias sobre voluntariado en Canadá, Estados Unidos, Reino Unido, Australia, Brasil, Colombia, Guatemala y México.

Adeyinka Jegede es analista de negocios, ingeniero en privacidad de datos, GRC y consultor de Sistemas de Gestión de Seguridad de la Información con múltiples talentos y altamente calificado, con más de 18 años de experiencia en liderazgo empresarial en las industrias de servicios financieros y de TI. Como especialista en cumplimiento y sistemas en Better Impact, dirige los servicios de gestión de seguridad de la información y Gobernanza de TI en América del Norte, Europa, Australia y Nueva Zelanda. Su experiencia en el desarrollo de sistemas de gestión de seguridad de la información de clase mundial es evidente en Better Impact. En 2021, dirigió a la organización para obtener las certificaciones ISO 27001 e ISO 27017 reconocidas a nivel mundial.