teletrabajo
26 Marzo 2020

Siete Incumplimientos de Seguridad y Protección de datos en el Teletrabajo

Te explicamos diversas situaciones cotidianas en estos días de teletrabajo en el que podemos incumplir la normativa de protección de datos o poner en serio riesgo la seguridad de nuestra empresa

Ante el Estado de Alarma en el que lamentablemente se encuentra el país, el Gobierno de España ha decido establecer a través de diferentes Reales Decretos una serie de medidas extraordinarias destinadas a hacer frente al impacto económico y social del COVID-19. Una de ellas es el trabajo a distancia o teletrabajo, medida por la que muchas empresas de La Rioja y de todo el país están optando.

Ahora bien, debemos hacer que el teletrabajo se asemeje lo máximo posible al trabajo presencial a todos los niveles: A nivel de concentración y productividad, pero también a nivel de accesibilidad a los sistemas de información y a nivel de seguridad. Si no tomamos las precauciones debidas podemos convertir, lo que a priori iba a ser una continuidad del servicio sin que este se viese afectado prácticamente, en un problema de seguridad importante y, probablemente, un parón en nuestra actividad por verse afectada la confidencialidad, disponibilidad o integridad de nuestros datos.

A continuación vamos a exponer diversas formas de convertir lo que iba a ser una forma de continuidad de negocio en una pesadilla. Todos tenemos responsabilidades, desde la empresa hasta el trabajador. Las situaciones en las que podemos cometer graves errores con el teletrabajo son las siguientes:

Para ello, nada mejor que emplear equipos proporcionados por la empresa que incorporen su política de seguridad.

  1. Transporte del pc, soportes, documentación en papel sin protección:
    Los trabajadores debemos extremar las precauciones a la hora de trasladar a nuestro domicilio las herramientas de trabajo para no extraviarlas o que no nos las roben. Para ello, es recomendable transportar el citado material de trabajo en una funda o bolsa provista de cierre. Además, si nos llevamos de la empresa soportes como USB ´s o discos duros externos con información es muy recomendable cifrar estos soportes por si en el trayecto a casa los perdiésemos. Si esto ocurriese, habiendo cifrado la información simplemente perderemos el valor del soporte pero no la información que llevamos en él.
  2. Teletrabajo a través de proveedores de nube/cloud fuera de UE o no fiables:
    Si mi empresa no tiene los medios para realizar una conexión VPN y el teletrabajo se realiza accediendo a través de alguna nube, ¡cuidado! Podríamos estar incumpliendo la normativa de protección de datos. Si escogemos una nube que aloje sus datos fuera de la UE, nos encontraríamos ante una transferencia internacional de datos (TID) y, cuanto menos, nos veríamos obligados a informar a los afectados (dueños de los datos personales). Además, deberíamos ver si la empresa con la que contratamos la nube aloja los datos en algún país declarado de nivel adecuado por la Comisión Europea u ofrece alguna de las garantías previstas en la normativa. Normalmente, las empresas estadounidenses como Google están adheridas a un acuerdo llamado “escudo de privacidad” por lo que dichas TID se encuentran regularizadas. No obstante, como comentábamos, deberemos informar al afectado.
    Por lo tanto, la empresa debe informar muy bien al trabajador acerca de las empresas proveedoras de servicio cloud que pueden utilizar para no contravenir la normativa de protección de datos. Por otro lado, estamos transfiriendo nuestros datos a terceros. ¿Podemos fiarnos? Para asegurarnos, podemos requerir que los proveedores de nube/cloud estén certificadas en normativa de seguridad, como ISO/IEC 27001, ISO/IEC 27017 o ISO/IEC 27018.
  3. No incorporar seguridad en el uso de ordenador:
    Es fundamental que el ordenador que utilicemos como trabajadores, implante ciertas medidas de seguridad como son:
    - Nombre de usuario y contraseña para acceder al ordenador. Muchos de nosotros tenemos familia y los pequeños  bajitos pueden creer que se trata de un juguete y hacernos en el pc alguna jugarreta.
    - Instalación de antivirus y firewall de PC que detecte, bloquee y elimine posibles virus y códigos maliciosos.
    - Software actualizado para evitar puertas de entrada a los ciberdelincuentes.
    - Cifrado de soportes (previo a la salida de los mismos de la oficina) como comentábamos en el punto primero.
  4. Auditar el teletrabajo y geolocalización del trabajador sin informar al trabajador:
    El artículo 20.3 del Estatuto de los Trabajadores nos habilita a la empresa a implementar medidas de control oportunas para verificar el cumplimiento de las obligaciones del trabajador. Algunas de estas medidas pueden ser poder auditar el equipo del trabajador para cerciorarse de que está cumpliendo con sus obligaciones, así como geolocalizar ciertos dispositivos.
    Ahora bien, siempre deberemos informar al trabajador (mejor por escrito) sobre estas medidas para poder llevarlo a cabo. Si en nuestra entidad existiesen representantes de los trabajadores, previamente a la implantación de estas medidas, deberemos informarles. El incumplimiento de estas medidas puede acarrearnos dolores de cabeza en forma de sanciones o problemas a la hora de extinguir los contratos de los empleados.
  5. Establecer canales de comunicaciones sin cifrar:
    Si vamos a conectarnos a los sistemas de información de la empresa, dicha comunicación debe ser de forma segura, es decir, de forma cifrada. Esto lo podremos llevar a cabo a través de una red privada virtual (RPV), en inglés: Virtual Private Network (VPN). Se trata de una tecnología de red de ordenadores que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet.
    Por lo tanto como empresa deberemos configurar los PC´s destinados al teletrabajo para que los empleados puedan trabajar desde casa mediante esta red privada virtual (VPN). Como trabajador, debemos estar atentos y solicitar a la empresa esta medida de seguridad si no la tenemos implementada en aras de poder salvaguardar la seguridad de las comunicaciones, el intercambio de información, etc.
    Igualmente, a la hora de intercambiar datos a través del correo electrónico, los trabajadores, debemos ser muy cautos ya que esa información que enviamos “per se” no va cifrada, con lo cual un tercero no autorizado podría interceptarla. Por ello, podemos utilizar herramientas para cifrar la información anexa al email o bien utilizar herramientas de intercambio seguro de información. Además debemos extremar la precaución a la hora de escribir el destinatario en el “para” de forma de que el correo llegue al destinatario correcto y, de paso, siempre hay que recordar el incorporar en el email cuando vaya dirigido a varios destinatarios en copia oculta “CCOO” y no en copia “CC” para evitar problemas con la normativa de protección de datos.
    La no implementación de una VPN es un riesgo de seguridad clamoroso y puede derivar perfectamente en una brecha de seguridad.
  6. No respetar el derecho a la desconexión digital y derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral:
    Como empresa no debemos ni podemos exigir a nuestros trabajadores que, fuera del horario laboral, atiendan al teléfono corporativo o al correo electrónico de empresa para garantizarles el descanso.
    Además, solamente podremos acceder a los dispositivos digitales facilitados al empleado para la mera comprobación del cumplimiento de sus obligaciones laborales, pero no debe ir más allá dicho acceso.
    Se tratan de dos derechos recogidos en la normativa de protección de datos (LOPD GDD) y su incumplimiento podría derivar en sanciones por parte de la AEPD.
  7. No implantar una correcta política de copias de seguridad:
    Si finalmente en nuestra empresa se ha decidido teletrabajar y la oficina ha quedado vacía, podemos tener un problema con nuestro procedimiento de copias de seguridad. En muchos casos, en dicho procedimiento indicamos que cada semana transportamos una segunda copia en una ubicación alternativa a donde se encuentran los sistemas de información por si ocurriese un desastre, por ejemplo un incendio, para que de esta forma no supusiera la pérdida de toda la información de nuestra empresa. Si no hay nadie en la oficina… ¿quién lleva la copia?
    Además, no tener otra copia de seguridad diferente a la guardada en nuestros sistemas de información puede ser un agujero importante de seguridad, ya que al estar en red y cada trabajador accediendo desde su casa, podría ser atacada por hackers informáticos que siempre están atentos a vulnerabilidades para, por ejemplo, poder “colarnos” un ransomware y pedirnos un rescate en forma de dinero por la información secuestrada.
    Ahora bien, con todo el mundo fuera de la oficina y previsiblemente sin nadie que vaya acceder a la misma en, como mínimo, 30 días tenemos que encontrar una fórmula que nos permita tener otra copia de seguridad en una ubicación alternativa ya que, por las medidas tan serias que existen de movilidad, no conviene ir a la oficina a por la copia física una vez a la semana.
    Con lo cual, una posible medida es almacenar una copia en un servicio de cloud. Ahora bien, para ello debemos tener en cuenta lo indicado en el segundo punto, ya que dependiendo del proveedor cloud, podríamos encontrarnos ante una transferencia internacional de datos o que no sea fiable. En cualquier caso, para protegernos siempre conveniente almacenar la copia cifrada.

Como podéis ver, tanto la empresa como los empleados debemos extremar las precauciones ante el teletrabajo ya que se pueden producir de diversas formas, tanto brechas de seguridad como incumplimientos de la normativa de protección de datos. La información es uno de los activos más importantes de las empresas y entre todos debemos salvaguardarla.

Si necesitas que te ayudemos a teletrabajar de forma segura y que no tengas sustos ante este tipo de situaciones que nos está tocando vivir no dudes en contactar con nosotros.