Teletrabajo

This post is also available in: English

En estos momentos en los que el hashtag #quédateencasa es el núcleo principal de nuestras vidas, el teletrabajo se ha definido como el mejor método de trabajo en muchas empresas.

Aunque, en general, el teletrabajo puede significar nuevos retos y ventajas, su uso no se había terminado de afianzar en nuestro país. Ello unido a la urgencia con la que se han venido tomando este tipo de decisiones debido a la crisis sanitaria, provoca también riesgos y exposiciones, principalmente para la seguridad de la información y datos que se manejan.

Al hilo de lo que ya hemos ido recomendando para mantener en secreto el know-how de una empresa en otras entradas del blog, las autoridades e instituciones españolas han ido perfilando una serie de guías y recomendaciones:

Por un lado, el Instituto Nacional de Ciberseguridad, más conocido como “INCIBE”, ha publicado varios artículos o infografías, en materia de seguridad cuando estamos trabajando en remoto (puedes visitarlos aquí, aquí y aquí).

El INCIBE destaca las ventajas de la infraestructura de escritorio virtual (“Virtual Desktop Infraestructure” o “VDI”), que permite al empleado disponer del mismo sistema operativo y aplicaciones con las que habitualmente trabaja desde otros dispositivos, si bien subrayando la importancia de: (i) trabajar con los dispositivos corporativos; establecer un control de accesos robusto, con doble factor de autenticación; (ii) utilizar redes privadas virtuales o VPN; y (iii) conectarse a redes domésticas protegidas con contraseña o a la red de datos móvil como plan B.

También el Centro Criptológico Nacional (“CCN-CERT”) ha publicado un informe exhaustivo en materia de seguridad para situaciones de teletrabajo, divido en torno a las distintas aplicaciones o herramientas utilizadas (por ejemplo, correo electrónico, documentación en cloud o videoconferencias) y a diferentes medidas técnicas de vigilancia, protección y almacenamiento, así como en relación con recomendaciones prácticas para prevenir incidentes y vulnerabilidades.

La última ha sido la Agencia Española de Protección de Datos (“AEPD”) que acaba de publicar hoy unas recomendaciones dirigidas a las empresas en materia de protección de la información y datos personales y gestión de brechas de seguridad en situaciones de teletrabajo. Con un foco en materia de protección de datos personales, estas recomendaciones incluyen:

Para la empresa:

  • definir una política de protección de la información específica para situaciones de movilidad, en la que se establezcan qué formas de acceso remoto se permiten, tipos de dispositivos y nivel de acceso;
  • establecer un punto de contacto adecuado para comunicar cualquier incidente;
  • firmar un acuerdo de teletrabajo que incluya compromisos adquiridos por el empleado;
  • formación sobre las amenazas por las que pueden verse afectados y posibles consecuencias;
  • elegir soluciones y prestadores de servicio con garantías;
  • restringir el acceso a la información en función de los roles de cada empleado, incluso en función del tipo de dispositivo desde el que se acceda o su ubicación;
  • revisar, actualizar y configurar periódicamente los equipos y dispositivos utilizados, instalar un software antivirus actualizado, disponer de cortafuegos activados, incorporar mecanismos de cifrado de información y tener solo instalados o activados las aplicaciones y comunicaciones necesarias para llevar a cabo la actividad laboral;
  • establecer medidas concretas si se permite el uso de dispositivos personales (BYOD);
  • monitorizar los accesos realizados a la red corporativa, para identificar posibles amenazas o virus; y
  • revisar las políticas y configuraciones de forma periódica y en función de la evolución del entorno;

Para el empleado:

  • respetar la política de protección de la información definida, así como cualesquiera otra normas y procedimientos definidos;
  • proteger el dispositivo utilizado y su acceso mediante contraseñas robustas y sin descargarse aplicaciones o software que no haya sido previamente autorizado;
  • garantizar la protección de la información manejada, manteniendo en todo momento el deber de confidencialidad, evitando el uso del soporte papel y previendo que se puedan escuchar conversaciones por terceros;
  • guardar la información en espacios de red habilitados, evitando guardar la información de forma local, habilitando las copias de seguridad periódicas y eliminando la información residual; y
  • comunicar cualquier sospecha de incidencia con carácter inmediato.

Debemos recordar que la seguridad es un trabajo conjunto, de empresas y empleados, con implicaciones en diferentes ámbitos (secretos empresariales e información confidencial, protección de datos personales e intimidad, etc.) y que siempre redundará en beneficio de todos.

Autora: Adaya Esteban

This post is also available in: English

Autores:

Asociada

39 artículos



adaya.esteban@cuatrecasas.com