Ciberseguridad
Como motivo del Coronavirus, muchas empresas están planteando la opción del teletrabajo, ya sea por imposición en algunas comunidades o por decisión de la propia empresa y/o del trabajador pero, debemos tener en cuenta que, en el caso de que se decida llevar a cabo el teletrabajo, es importante tomar las medidas de ciberseguridad oportunas para no comprometer la seguridad de la empresa.
1º Es importante que el trabajador disponga de una red privada para conectarse ya que, en el caso de conectarse desde redes públicas, podría estar comprometiendo la seguridad de su empresa. El trabajador no debería usar redes de bares, restaurantes, centros comerciales, negocios cercanos… ya que, estas redes no cuentan con alto nivel de seguridad puesto que están diseñadas para que cualquier persona que quiera, pueda conectarse, incluyendo las personas que se conectan para realizar alguna acción mal intencionada.
Deberíamos recordar que no existe nada gratis y que, aquello que lo es, en la mayoría de los casos es porque detrás de lo “gratis” puede estar la recopilación de nuestros datos por lo que, las redes públicas, en su mayoría, se pagan con publicidad y recogiendo datos de uso y conexión de los usuarios, si nos conectamos a estas redes para trabajar, posiblemente estaríamos facilitando datos de la empresa y de nuestros clientes, lo que podría suponer una brecha de seguridad y estaríamos incumpliendo la normativa en protección de datos, con su consecuente multa por no haber tomado las medidas preventivas oportunas.
Si en tu domicilio no dispones de Internet, lo mejor sería conectarte a la red del móvil, siempre y cuando este esté conectado a una red privada y sin olvidar de que, en ese caso, se tendrían que tomar medas de seguridad con el teléfono.
2º Trabajar con un equipo informático de la empresa que te puedas llevar a casa.
Muchos son los trabajadores que deciden trabajar con su ordenador o portátil personal cuando lo hacen desde casa, pero, deberíamos tener en cuenta que, es importante asegurar el equipo informático con el que vamos a trabajar.
El ordenador del trabajo está configurado para uso exclusivo del trabajo con las políticas de la empresa, lo que conlleva que tenga las medidas de seguridad oportunas para no tener ninguna brecha de seguridad pero, en el caso del ordenador que se tiene en casa, normalmente, suele tener muchos usuarios, software gratuito de origen poco o nada controlado… y esto puede llevar a que la empresa pueda sufrir un ataque o fuga de datos.
3º Acondicionar un sitio de trabajo en casa.
Es importante que puedas contar con un sitio de trabajo donde animales domésticos o familiares no puedan despistarte de tu trabajo o interrumpir en el caso de estar atendiendo algún cliente o realizando alguna videoconferencia con otras empresas o compañeros del trabajo.
Debemos recordad que, si estamos trabajando en casa, la información con la que estemos trabajando debe ser confidencial y que, aunque en la casa haya familiares, los asuntos de la empresa debe tratarse sólo dentro del ámbito de la empresa por lo que, las llamadas telefónicas o videoconferencias deben ser privadas.
4º Gestionar las contraseñas.
Es importante trabajar siempre con contraseñas robustas (de ocho caracteres que combine letras mayúsculas y minúsculas, números y símbolos) para acceder a recursos profesionales como el correo electrónico o las aplicaciones de trabajo.
Además, también es fundamental revisar la clave de la red WiFi a la que nos vamos a conectar para así asegurarnos de que no está abierta y accesible para cualquier persona ajena.
Un acto muy repetido por todos es repetir la misma contraseña en diferentes sitios para así tener más facilidad para recodarla, esto es un gran error por lo que, no deberíamos usar la contraseña de la empresa en sitios o programas de uso personal.
5º Tener cuidado con los ficheros adjuntos que nos llegan al correo electrónico.
Una costumbre muy habitual es la de enviar archivos adjuntos entre compañeros o a clientes a través del correo electrónico o utilizar programas externos para enviar grandes ficheros.
La principal razón por la que se limita el uso de archivos adjuntos es para evitar que los trabajadores se acostumbren a enviar estos archivos por correo electrónico ya que, al estar intercambiando documentos como adjuntos, podríamos correr el riesgo de abrir uno peligroso. Debemos recordar que un gran número de infecciones informáticas entran a través del archivo adjunto, como son por ejemplo, los programas que secuestran los equipos y los datos (ransomware).
Otra opción es la de usar memorias USB para pasar la información de un ordenador a otro, los USB podrían estar infectados y al conectarlo al ordenador podríamos estar infectándolo también por lo que, se recomienda usar los sistemas de almacenamiento de la empresa ya que cuentan con antivirus muy potentes para analizar la documentación y detener la infección.
Ciberseguridad
Cuando nos planteamos montar una empresa, en la mayoría de los casos nos planificamos viendo qué tipo de sociedad vamos a querer, el mercado al que nos vamos a dirigir, competencia, inversión… y en ocasiones nos olvidamos de uno de los activos más importantes de la empresa, la información personal y empresarial de la que disponemos o vamos a disponer.
La información es uno de los activos más importantes de la empresa y por eso, debemos aprender a protegerla, independientemente de si somos autónomos, trabajamos en una pyme o en una empresa grande.
La cantidad de información que pueden manejar las empresas es casi incalculable y debemos tener en cuenta que esa información va aumentando con los años. Todo este conjunto de información hace que se vayan creando bases de datos cada vez más robustas porque, cada vez que la empresa va creciendo, lo va haciendo también la información.
Proteger los datos de la empresa (ya sean clientes, trabajadores o proveedores) y cumplir adecuadamente con la normativa en materia de protección de datos son dos obligaciones que tienen todas las empresas ya que, en el caso de sufrir una brecha de seguridad, podría suponer un problema que podría afectar en la productividad de la empresa y en su imagen, además, de su obligación de comunicarlo a la autoridad competente de cada país, en el caso de España, la Agencia Española de Protección de Datos.
En una compañía con un alto número de trabajadores, los datos personales de éstos son especialmente sensibles ya que suelen ser un volumen de datos muy elevado siendo, a su vez, de especial privacidad para el trabajador y por ello, te contamos algunos consejos importantes para tener bien protegidos los datos laborales de tu empresa en el proceso de selección, en la contratación y durante la relación laboral con un trabajador.
- En el proceso de selección, te recomendamos disponer de documentos en los que el candidato pueda exponer su Curriculum Vitae y en los que el tratamiento de datos esté claro y explicado.
- En la contratación, utiliza el contrato de trabajo para informar al trabajador del tratamiento de sus datos.
- Durante la relación laboral, deberías informar a tus trabajadores de todos los cambios que se produzcan en el tratamiento de sus datos personales. Es una obligación por tu parte y un derecho por la suya.
Como hemos explicado en el punto anterior, las empresas están obligadas a proteger los datos de sus trabajadores, pero, también ellos, tienen ciertas obligaciones con los datos personales que manejan mientras realizan su trabajo y es que, la normativa en protección de datos (LOPDGDD) se centra en dos aspectos a destacar cuando un trabajador trata datos personales de otro trabajador o cliente y es que tienen el deber de secreto y el deber de seguridad.
El deber de secreto garantiza que tan sólo el encargado de manejar los datos personales es conocedor de dichos datos, mientras que el deber de seguridad establece disponibilidad y recuperación de cualquier dato personal que haya tratado el encargado de ello.
Te contamos 10 consejos para que los datos e información de tu empresa esté protegida y adaptada en el cumplimiento de la normativa en materia de protección de datos:
- Controlar el acceso a la información según necesidad de cada perfil de trabajador para poder minimizar el impacto del error humano en la seguridad de la información
- Establecer un enfoque de riesgo para aquellos datos especialmente sensibles.
- Recuerda que, si tu empresa está obligada a tener un DPD, debes disponer de un Delegado de Protección de Datos cuyo trabajo no entre en conflicto con las funciones que debe llevar a cabo como Delegado.
- Tener un registro actualizado de todos los datos personales que se maneja en la empresa.
- Formar a los trabajadores y concienciarlos de la importancia en el tratamiento de los datos es necesario y obligatorio por ley. Centrar la seguridad en amenazas externas podría ser un error. En ocasiones las brechas de seguridad se pueden dar dentro de la empresa, desde enviar un correo a la persona equivocada hasta perder un dispositivo de almacenamiento USB sin los datos encriptados y con clave para poder acceder a ellos. Además, puede ocurrir que algún trabajador caiga en las típicas trampas de suplantación de identidad o phishing de los hackers.
- Tener un sistema de seguridad actualizado para poder protegerla de ataques externos. Contar con un firewall y un sistema antivirus actualizado es muy importante para poder prevenir y evitar cualquier ataque.
- Contar con contraseñas lo más seguras posible y olvidarnos de las contraseñas al uso ya que, toda contraseña es hackeable y debemos evitar contraseñas comunes y fáciles de recordar. Recomendamos contraseñas alfanuméricas y robustas para evitarlo.
- Implanta filtros de SPAM para el correo corporativo ya que permitirá controlar la recepción de correos tipo basura o no solicitados, los cuales podrían contener virus y que un fallo humano podría llevar a comprometer la seguridad de la empresa. El filtro envía este tipo de correos a una carpeta SPAM, la cual tendrás que revisar cada cierto tiempo ya que algún correo podría terminar en esta carpeta por error y no ser SPAM.
- Si tu empresa dispone de web o eCommerce, es importante que tenga certificado SSL ya que será identificada como segura tanto para los navegadores como para los usuarios y además, los datos que se introducen en los formularios, se transmiten cifrados por lo que, no pueden ser interceptados.
- Implanta el encriptado de datos ya que te ayudará a proteger la información confidencial en el caso de que alguien robe o se pierda algún dispositivo o equipo de la empresa.
Para implantar las medidas que te hemos recomendado y que sean efectivas, deberías seguir los siguientes pasos:
- Analizar las necesidades de la empresa.
- Revisar las posibles amenazas.
- Seleccionar e implantar medidas de seguridad.