Cada vez son más las empresas que incorporan el teletrabajo en sus puestos, bien como opción entre sus trabajadores, o bien como «complemento» salarial para algunos perfiles que tienen unas necesidades concretas. Además, en situaciones excepcionales, como las que puede provocar alguna pandemia tipo coronavirus, son los propios gobiernos los que recomiendan a las empresas adoptar este enfoque laboral durante un tiempo, como medida para tratar de reducir los contagios.
Sea cual sea el caso de tu negocio, aquí te damos algunas pautas básicas para que tus trabajadores puedan trabajar desde casa con unos niveles adecuados de ciberseguridad, y con todas las garantías que el RGPD establece.
Cláusulas de confidencialidad para los empleados
Esto es algo que ya tendrías que tener cubierto desde el primer día que contratas a cualquier empleado (o si ya estaba contratado, al menos desde que entró en vigor el RGPD) es haber informado al empleado sobre el compromiso de confidencialidad que adquiere al tratar con los datos personales que tu empresa, como Responsable del tratamiento, va a tratar para su normal funcionamiento.
Es altamente recomendable recabar la firma del empleado al final del documento, junto con su nombre, DNI y fecha de firma, para tener prueba documental de que ha sido debidamente informado. No se trata de ir sospechando de la gente o dudando de su honradez, pero llegado el caso, tendrás un documento que deja claro que ha sido informado de las consecuencias de no cumplir con los niveles de confidencialidad requeridos.
Si necesitas las plantillas de confidencialidad para empleados, ClickDatos te las facilita de manera totalmente gratuita en este formulario.
Con este documento y con los empleados debidamente informados, se deja clara la importancia de respetar la confidencialidad de los datos que se tratan en la empresa, entre ellos, los datos personales, aunque también datos críticos de negocio que no deberían ser compartidos.
Formación RGPD a empleados para correcto tratamiento
El artículo 32.4 del RGPD, establece que han de tomarse medidas respecto al personal con acceso a datos que dependa tanto del responsable como del encargado, de forma que traten los datos siguiendo estrictamente sus instrucciones y todo lo establecido por el reglamento.
Por tanto, es responsabilidad de la dirección de la empresa formar correctamente a los empleados para que hagan un tratamiento correcto y con garantías, no solo desde el lugar de trabajo, sino también llegado el momento en el que tengan que trabajar desde su casa o, en general, fuera de las instalaciones del negocio.
Evita aplicaciones de control remoto, implanta una VPN
Si bien la tentación es instalar software de control remoto como TeamViewer o Anydesk en cada uno de los equipos, esta opción incumple el RGPD por diversos motivos, ya que estás usando proveedores con los cuales no dispones de un contrato de terceros que establezca los compromisos y obligaciones a los que están sujetos, y de los cuales además no sabemos si tienen un nivel de seguridad adecuado al reglamento. Esto también abre la posibilidad a tener puertas traseras en nuestros sistemas que den lugar a accesos no deseados (incluso de los propios desarrolladores de esas aplicaciones), e incluso de perder el control de cuándo y cómo acceden nuestros empleados, entre otros problemas.
En su lugar, lo más recomendable es utilizar sistemas de acceso cifrado seguro, como una VPN, la cual es controlada completamente por el Responsable/Encargado del tratamiento y permite poder acceder desde fuera de la empresa a todos los recursos internos:
La web de Incibe da algunos consejos sobre acceso por VPN a la oficina, pero lo más recomendable es que contrates a un especialista informático para su implantación, en caso de que no dispongas de alguien en tu plantilla con los recursos y conocimientos necesarios.
Sistemas de almacentamiento / backups online
Si en tu negocio utilizáis proveedores de almacenamiento o copias de seguridad «en la nube» (cloud), también es necesario cumplir ciertos requisitios:
- Asegúrate de tener un contrato de prestación de servicios con el proveedor
- Ten firmado el contrato de terceros correspondiente, ya que ese proveedor pasa a ser un encargado del tratamiento
- Es necesario que los servidores del proveedor se encuentren dentro de la Unión Europea (recomendable que se especifique en el contrato de terceros)
- Busca un proveedor que facilite «control de versiones» para saber cuándo y quién ha modificado cada fichero (recuerda, estaréis todos en remoto), e incluso poder recuperar y consultar versiones anteriores de los ficheros.
- Activa la copia/sincronización automática de los ficheros clave para la normal actividad de tu negocio
- Explica a los empleados la información confidencial que NO deberían almacenar en ese proveedor
- Procura escoger un proveedor que ofrezca por contrato una alta disponibilidad del servicio (el 100% es una utopía) y que sea una empresa consolidada, para evitar que cierren de un día para otro y pierdas todos esos datos.
Medidas de seguridad físicas
A la hora de teletrabajar, muchos empleados aprovechan para hacerlo desde lugares que les ayuden a concentrarse, como puede ser un parque, cafetería o terraza comunitaria. Si bien esto puede ayudar a la productividad, también puede dar lugar a que cualquier persona pueda ver los datos que aparecen en pantalla o nuestras claves de acceso (conocido como «shoulder surfing»), o que puedan ser grabados y accedidos posteriormente en algún sistema de videovigilancia/grabación remota.
Otro fallo que se suele cometer es la de copiar grandes cantidades de información corporativa en medios de almacenamiento extraíbles (pendrives, discos duros externos) para poder trabajar «en local» desde casa. Según un estudio de Kingston, el 48% de las empresas pierden datos confidenciales por la pérdida (o robo) de este tipo de dispositivos de almacenamiento, por lo que desaconsejamos encarecidamente el uso de pendrives o discos duros externos. Si el uso de los USBs externos es una necesidad en tu caso, implanta un sistema de cifrado de datos para evitar que puedan ser accesibles en caso de pérdida.
En cuanto al acceso al equipo (inicio de sesión), siempre deberá solicitar una clave segura de acceso al sistema operativo, para evitar que en caso de robo o pérdida, cualquiera pueda acceder a todo lo que tengamos en él. Por supuesto, nada de post-its con las claves de acceso al equipo o a la VPN de la empresa.
Sobre el equipo que utilizaremos, por supuesto, nadie más debe acceder al mismo (aunque hablemos de usuarios independientes) y debe ser un equipo de confianza, que no haya podido ser objeto de ataques de herramientas que puedan facilitar el acceso a la información corporativa (como pueden ser virus, keyloggers, etc.)
A mitad de camino entre lo físico y lo «lógico», tenemos las wifis inseguras, de uso tan habitual como imprudente. Nuestra recomendación es, sin duda, trabajar siempre por cable, aunque tu equipo sea un portátil y disponga de la posibilidad de conectarse de manera inalámbrica. En caso de que tu «oficina» casera no esté preparada para poder conectarse por cable (router lejos de la mesa, p.ej.), utiliza SOLO tu red inalámbrica de confianza (la de casa), habiéndole cambiado previamente la clave por una que no sea la que viene en la pegatina y que no sea fácil de adivinar.
Medidas de seguridad informáticas / ciberseguridad
Por último pero no menos importante, tenemos que asegurarnos de todos los sistemas que utilicemos cumplan los criterios básicos de ciberseguridad. Aquí dejamos un listado de las medidas más importantes:
- Sistema operativo actualizado, con licencia original
- Antivirus con licencia, actualizado
- Cortafuegos del sistema activo (firewall)
- Aplicaciones ofimáticas con licencia y actualizadas
- Clave segura para acceso al sistema (nada de «123456»)
- Bloqueo de pantalla automático por inactividad
- Cifrado de datos en el disco
- Borrado remoto de datos configurado en el dispositivo
- Posibilidad de supervisión remota del estado de seguridad del equipo
- No utilizar equipos públicos o compartidos
- No utilizar wifis públicas (aunque tengan clave)
- Utilizar solo webs seguras (con el candado del «https»)
Medidas de seguridad humanas
Habitualmente, el eslabon más débil en la cadena de medidas de seguridad suelen ser las propias personas. Los casos de ataques más habituales suelen ser por correos tipo phising que engañan a los empleados, o técnicas de «ingeniería social» que derivan en filtrado de datos confidenciales de la empresa, que nunca deberían haber sido comunicados.
Cada vez las empresas son más conscientes de las medidas de ciberseguridad a implantar en los puestos de trabajo, pero olvidan formar convenientemente a sus empleados para evitar engaños o situaciones indeseables.
Lo más habitual son correos suplantando identidades, llamadas telefónicas asumiendo ser personas que no son (compañeros, clientes, proveedores) solicitando información sensible, o llamadas de un servicio de soporte técnico del que jamás habíamos oído.
Normalmente este tipo de situaciones se suelen filtrar bastante bien gracias a la «inteligencia colectiva» de la oficina, ya que cuando algo nos descuadra, solemos preguntar a los compañeros. Al encontrarnos en una situación de aislamiento (trabajando a solas desde casa), es más fácil caer en el engaño, por lo que debemos extremar la atención de nuestros empleados en este sentido.
Ante la duda, habrá que analizar bien la situación y comprobar que nuestro interlocutor es quien dice ser. Es recomendable establecer algún tipo de protocolo interno para que nuestros empleados aprendan, de manera automática, unas pautas para que podamos identificar de manera fehaciente la identidad de dichos interlocutores.
