Consejos de ciberseguridad para el teletrabajo en su empresa

Como motivo del Coronavirus, muchas empresas están planteando la opción del teletrabajo, ya sea por imposición en algunas comunidades o por decisión de la propia empresa y/o del trabajador pero, debemos tener en cuenta que, en el caso de que se decida llevar a cabo el teletrabajo, es importante tomar las medidas de ciberseguridad oportunas para no comprometer la seguridad de la empresa.

1º Es importante que el trabajador disponga de una red privada para conectarse ya que, en el caso de conectarse desde redes públicas, podría estar comprometiendo la seguridad de su empresa. El trabajador no debería usar redes de bares, restaurantes, centros comerciales, negocios cercanos… ya que, estas redes no cuentan con alto nivel de seguridad puesto que están diseñadas para que cualquier persona que quiera, pueda conectarse, incluyendo las personas que se conectan para realizar alguna acción mal intencionada.

Deberíamos recordar que no existe nada gratis y que, aquello que lo es, en la mayoría de los casos es porque detrás de lo “gratis” puede estar la recopilación de nuestros datos por lo que, las redes públicas, en su mayoría, se pagan con publicidad y recogiendo datos de uso y conexión de los usuarios, si nos conectamos a estas redes para trabajar, posiblemente estaríamos facilitando datos de la empresa y de nuestros clientes, lo que podría suponer una brecha de seguridad y estaríamos incumpliendo la normativa en protección de datos, con su consecuente multa por no haber tomado las medidas preventivas oportunas.

Si en tu domicilio no dispones de Internet, lo mejor sería conectarte a la red del móvil, siempre y cuando este esté conectado a una red privada y sin olvidar de que, en ese caso, se tendrían que tomar medas de seguridad con el teléfono.

2º Trabajar con un equipo informático de la empresa que te puedas llevar a casa.

Muchos son los trabajadores que deciden trabajar con su ordenador o portátil personal cuando lo hacen desde casa, pero, deberíamos tener en cuenta que, es importante asegurar el equipo informático con el que vamos a trabajar.

El ordenador del trabajo está configurado para uso exclusivo del trabajo con las políticas de la empresa, lo que conlleva que tenga las medidas de seguridad oportunas para no tener ninguna brecha de seguridad pero, en el caso del ordenador que se tiene en casa, normalmente, suele tener muchos usuarios, software gratuito de origen poco o nada controlado… y esto puede llevar a que la empresa pueda sufrir un ataque o fuga de datos.

3º Acondicionar un sitio de trabajo en casa.

Es importante que puedas contar con un sitio de trabajo donde animales domésticos o familiares no puedan despistarte de tu trabajo o interrumpir en el caso de estar atendiendo algún cliente o realizando alguna videoconferencia con otras empresas o compañeros del trabajo.

Debemos recordad que, si estamos trabajando en casa, la información con la que estemos trabajando debe ser confidencial y que, aunque en la casa haya familiares, los asuntos de la empresa debe tratarse sólo dentro del ámbito de la empresa por lo que, las llamadas telefónicas o videoconferencias deben ser privadas.

4º Gestionar las contraseñas.

Es importante trabajar siempre con contraseñas robustas (de ocho caracteres que combine letras mayúsculas y minúsculas, números y símbolos) para acceder a recursos profesionales como el correo electrónico o las aplicaciones de trabajo.

Además, también es fundamental revisar la clave de la red WiFi a la que nos vamos a conectar para así asegurarnos de que no está abierta y accesible para cualquier persona ajena.

Un acto muy repetido por todos es repetir la misma contraseña en diferentes sitios para así tener más facilidad para recodarla, esto es un gran error por lo que, no deberíamos usar la contraseña de la empresa en sitios o programas de uso personal.

5º Tener cuidado con los ficheros adjuntos que nos llegan al correo electrónico.

Una costumbre muy habitual es la de enviar archivos adjuntos entre compañeros o a clientes a través del correo electrónico o utilizar programas externos para enviar grandes ficheros.

La principal razón por la que se limita el uso de archivos adjuntos es para evitar que los trabajadores se acostumbren a enviar estos archivos por correo electrónico ya que, al estar intercambiando documentos como adjuntos, podríamos correr el riesgo de abrir uno peligroso. Debemos recordar que un gran número de infecciones informáticas entran a través del archivo adjunto, como son por ejemplo, los programas que secuestran los equipos y los datos (ransomware).

Otra opción es la de usar memorias USB para pasar la información de un ordenador a otro, los USB podrían estar infectados y al conectarlo al ordenador podríamos estar infectándolo también por lo que, se recomienda usar los sistemas de almacenamiento de la empresa ya que cuentan con antivirus muy potentes para analizar la documentación y detener la infección.

Te explicamos cómo cumplir con la protección de datos si implantas teletrabajo en tu empresa

Teletrabajo es una opción que cada día se escucha más en el mercado laboral donde, las empresas deciden ofrecer esta opción para poder contar en su plantilla con personas que no se pueden desplazar a su lugar de trabajo o bien, para facilitar la conciliación laboral y personal de sus trabajadores.

Gracias a las nuevas tecnologías, la presencia del trabajador en las instalaciones de la empresa ya no es necesaria para desempeñar ciertas tareas, de manera que, si el trabajador y el empresario así lo pactan, se llegará a un acuerdo sobre las condiciones en las que se desarrollará el trabajo en remoto.

Recordemos que en el caso de acogerse a esta modalidad, siempre debe figurar por escrito, ya sea, registrándolo en el convenio colectivo de aplicación o en el propio contrato, y puede hacerse en el momento de la contratación o como un anexo posterior.

Aunque el teletrabajo lleva ya unos años en el mercado laboral, no ha sido hasta este momento en el que el país está viviendo un Estado de Alarma, cuando ha aumentado el número de empresas que han decidido implantar el teletrabajo en sus empresas para así no tener que suspender su actividad y ofrecerles seguridad a sus trabajadores ya que no tienen que desplazarse a su lugar de trabajo.

Pero, hay que tener en cuenta que, antes de implementar el teletrabajo en la empresa, se debe de tener en consideración algunos aspectos tanto con la seguridad como con la protección de datos.

Recordemos que una de las principales medidas que exige la normativa en protección de datos es el principio de responsabilidad proactiva. Este principio se define como la necesidad de que el responsable del tratamiento de los datos aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos personales es conforme con el Reglamento. Es decir, no basta con cumplir con la normativa de protección de datos, sino que también hay que poder demostrar que se está cumpliendo con la normativa.

Demos recordar también que, ante una brecha de seguridad, tenemos un plazo máximo de 72 para comunicárselo a la Agencia Española de Protección de Datos, para no sufrir en ningún momento esta brecha de seguridad en la empresa, es necesario tomar las medidas oportunas a lo que a seguridad se refiere.

Por lo tanto, vamos a hacer un resumen de las medidas que recomendamos se deberían tener en cuenta para asegurar la seguridad y protección los equipos informáticos fuera del centro de trabajo y por lo tanto, de los datos que puedan albergar:

  • No usar conexión WiFi pública.
  • Evitar la instalación de aplicaciones o la navegación por páginas no seguras.
  • Tener revisado y actualizado los equipos informáticos con los que se va a trabajar fuera de la empresa.
  • Utilizar técnicas criptográficas para la transmisión de la información, uso de contraseñas, firewall y antivirus.
  • Crear una red privada o VPN para conectar entre sí a los teletrabajadores con la oficina y entre ellos, donde el acceso a la red esté protegida por un cifrado que da una capa extra de protección, de manera que se evita el acceso de terceros no autorizados a la información que se comparte a través de esta red.
  • Cerrar todas las conexiones con servidores y webs recurriendo a “cerrar sesión” o “desconectar”.
  • Bloquear la pantalla del ordenador cuando no estemos trabajando.
  • Si se va a utilizar un equipo personal para el teletrabajo, sería recomendable crear un perfil profesional para mantener separadas cuentas y navegación.

10 recomendaciones para proteger los datos de tu empresa

Cuando nos planteamos montar una empresa, en la mayoría de los casos nos planificamos viendo qué tipo de sociedad vamos a querer, el mercado al que nos vamos a dirigir, competencia, inversión… y en ocasiones nos olvidamos de uno de los activos más importantes de la empresa, la información personal y empresarial de la que disponemos o vamos a disponer.

La información es uno de los activos más importantes de la empresa y por eso, debemos aprender a protegerla, independientemente de si somos autónomos, trabajamos en una pyme o en una empresa grande.

La cantidad de información que pueden manejar las empresas es casi incalculable y debemos tener en cuenta que esa información va aumentando con los años. Todo este conjunto de información hace que se vayan creando bases de datos cada vez más robustas porque, cada vez que la empresa va creciendo, lo va haciendo también la información.

Proteger los datos de la empresa (ya sean clientes, trabajadores o proveedores) y cumplir adecuadamente con la normativa en materia de protección de datos son dos obligaciones que tienen todas las empresas ya que, en el caso de sufrir una brecha de seguridad, podría suponer un problema que podría afectar en la productividad de la empresa y en su imagen, además, de su obligación de comunicarlo a la autoridad competente de cada país, en el caso de España, la Agencia Española de Protección de Datos.

En una compañía con un alto número de trabajadores, los datos personales de éstos son especialmente sensibles ya que suelen ser un volumen de datos muy elevado siendo, a su vez, de especial privacidad para el trabajador y por ello, te contamos algunos consejos importantes para tener bien protegidos los datos laborales de tu empresa en el proceso de selección, en la contratación y durante la relación laboral con un trabajador.

  • En el proceso de selección, te recomendamos disponer de documentos en los que el candidato pueda exponer su Curriculum Vitae y en los que el tratamiento de datos esté claro y explicado.
  • En la contratación, utiliza el contrato de trabajo para informar al trabajador del tratamiento de sus datos.
  • Durante la relación laboral, deberías informar a tus trabajadores de todos los cambios que se produzcan en el tratamiento de sus datos personales. Es una obligación por tu parte y un derecho por la suya.

Como hemos explicado en el punto anterior, las empresas están obligadas a proteger los datos de sus trabajadores, pero, también ellos, tienen ciertas obligaciones con los datos personales que manejan mientras realizan su trabajo y es que, la normativa en protección de datos (LOPDGDD) se centra en dos aspectos a destacar cuando un trabajador trata datos personales de otro trabajador o cliente y es que tienen el deber de secreto y el deber de seguridad.

El deber de secreto garantiza que tan sólo el encargado de manejar los datos personales es conocedor de dichos datos, mientras que el deber de seguridad establece disponibilidad y recuperación de cualquier dato personal que haya tratado el encargado de ello.

Te contamos 10 consejos para que los datos e información de tu empresa esté protegida y adaptada en el cumplimiento de la normativa en materia de protección de datos:

  1. Controlar el acceso a la información según necesidad de cada perfil de trabajador para poder minimizar el impacto del error humano en la seguridad de la información
  2. Establecer un enfoque de riesgo para aquellos datos especialmente sensibles.
  3. Recuerda que, si tu empresa está obligada a tener un DPD, debes disponer de un Delegado de Protección de Datos cuyo trabajo no entre en conflicto con las funciones que debe llevar a cabo como Delegado.
  4. Tener un registro actualizado de todos los datos personales que se maneja en la empresa.
  5. Formar a los trabajadores y concienciarlos de la importancia en el tratamiento de los datos es necesario y obligatorio por ley. Centrar la seguridad en amenazas externas podría ser un error. En ocasiones las brechas de seguridad se pueden dar dentro de la empresa, desde enviar un correo a la persona equivocada hasta perder un dispositivo de almacenamiento USB sin los datos encriptados y con clave para poder acceder a ellos. Además, puede ocurrir que algún trabajador caiga en las típicas trampas de suplantación de identidad o phishing de los hackers.
  6. Tener un sistema de seguridad actualizado para poder protegerla de ataques externos. Contar con un firewall y un sistema antivirus actualizado es muy importante para poder prevenir y evitar cualquier ataque.
  7. Contar con contraseñas lo más seguras posible y olvidarnos de las contraseñas al uso ya que, toda contraseña es hackeable y debemos evitar contraseñas comunes y fáciles de recordar. Recomendamos contraseñas alfanuméricas y robustas para evitarlo.
  8. Implanta filtros de SPAM para el correo corporativo ya que permitirá controlar la recepción de correos tipo basura o no solicitados, los cuales podrían contener virus y que un fallo humano podría llevar a comprometer la seguridad de la empresa. El filtro envía este tipo de correos a una carpeta SPAM, la cual tendrás que revisar cada cierto tiempo ya que algún correo podría terminar en esta carpeta por error y no ser SPAM.
  9. Si tu empresa dispone de web o eCommerce, es importante que tenga certificado SSL ya que será identificada como segura tanto para los navegadores como para los usuarios y además, los datos que se introducen en los formularios, se transmiten cifrados por lo que, no pueden ser interceptados.
  10. Implanta el encriptado de datos ya que te ayudará a proteger la información confidencial en el caso de que alguien robe o se pierda algún dispositivo o equipo de la empresa.

Para implantar las medidas que te hemos recomendado y que sean efectivas, deberías seguir los siguientes pasos:

  • Analizar las necesidades de la empresa.
  • Revisar las posibles amenazas.
  • Seleccionar e implantar medidas de seguridad.

Tratamiento de datos a menores

En el RGPD aparecen varias referencias al tratamiento de datos a menores:

  • En la regulación de los intereses legítimos del responsable como base legal del tratamiento, no será aplicable en el caso de que prevalezcan los derechos, libertades o intereses de los afectados, en particular si se trata de menores.
  • Al indicar la información a los interesados  con relación del tratamiento o al ejercicio de sus derechos deberá ser concisa, transparente, inteligible y proporcionada con el lenguaje claro y sencillo cuando los interesados sean niños.
  • En el contexto del derecho al borrado de datos
  • Debe ser una de las prioridades principales de las autoridades de protección de datos la del fomento de las actividades de formación y sensibilización dirigidas a menores.
  • En referencia a la realización de perfiles en los contextos de las explicaciones ofrecidas por los considerandos del RGPD.

IMPORTANTE

Se mencionan explícitamente a menores en el RGPD en la obtención del consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información. Este consentimiento lo consideran válido el RGPD  a partir de los 16 años y por debajo de esta edad será válido con la autorización de los padres o tutores legales.

El RGPD permite a los estados miembros el establecimiento de edades inferiores siempre que no sean por debajo de los 13años. Los estados miembros podrán hacer, y de hecho lo harán, uso de esta posibilidad.

OBLIGACIÓN

Se va a requerir a los responsables que hagan esfuerzos razonables teniendo en cuenta el estado de la tecnología para que verifiquen que los menores que nos dan su consentimiento cumplen con la edad límite o están autorizados por sus padres o tutores.

Transferencias internacionales de los datos

El modelo que establece el RGPD para transferencias internacionales de datos sigue el mismo criterio que el que estableció la directiva 95/46  y las legislaciones nacionales de trasposición.

OBLIGACIÓN

Solo se podrán comunicar datos fuera del Espacio Económico Europeo:

  • A países, territorios o sectores específicos (y organizaciones internacionales) sobre las que la Comisión haya reconocido que ofrecen un nivel de protección adecuado.
  • Cuando se hayan ofrecido garantías adecuadas de protección que recibieran en destino los datos.
  • Si se aplica alguna de las excepciones por los que se pueden transferir datos sin garantías de protección por la necesidad vinculada al propio interés del titular de los datos o a sus intereses generales.

IMPORTANTE

Desde la óptica de los responsables o encargados que actualmente realizan transferencias internacionales o que los efectúen en el marco del RGPD:

  • Las decisiones adoptadas por la Comisión anteriormente  la aplicación del RGPD serán válidas y podrán seguir realizándose las transferencias, mientras no sean sustituidas o derogadas.
  • Las clausulas tipo para los contratos establecidos por la Comisión, en los que se establecen las garantías para las transferencias seguirán siendo válidas, en tanto la Comisión no las sustituya o las derogue.
  • Las autorizaciones sobre las transferencias internacionales emitidas por las autoridades nacionales, seguirán siendo válidas mientras que las autoridades no las revoquen.
  • El exportador deberá ofrecer garantías sobre la protección que los datos van a recibir en destino. Este exportador podrá ser tanto responsable como encargado de tratamiento.
  • Hay una ampliación de la lista de posibles instrumentos para ofrecer garantías, incluyendo entre otros Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación, así como de cláusulas contractuales y modelos que puedan aprobar las autoridades de protección de datos.
  • En los casos de Normas Corporativas Vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación, la transferencia no requerirá la autorización de la autoridad de supervisión.
  • Se añade una excepción al listado establecido en la Directiva 95/46, en la que posibilita a un responsable transferir datos a un país sin un nivel adecuado de protección cuando la transferencia sea necesaria para satisfacer interese legítimos, imperiosos del responsable y la transferencia no es repetitiva afectando a un número limitado de interesados. Hay que tener en cuenta que esto será posible si no prevalecen los derechos, intereses y libertades de los afectados y habrá que comunicarlo a la autoridad de control.