- ¿Qué ocurrió mientras teletrabajábamos y qué debemos hacer para evitar que vuelva a pasar?
- ¿Cómo podemos prepararnos para conseguir una eficiencia y seguridad en el teletrabajo?
Estamos en un momento de cambio y de incertidumbre en todo el mundo, pero la actividad empresarial y profesional ha de continuar y además hacerlo de una manera reforzada. Durante estos meses pasados muchas entidades se vieron obligadas a enviar a todo el personal a sus casas para poder continuar con la actividad laboral.
¿Qué ocurrió mientras teletrabajábamos y qué debemos hacer para evitar que vuelva a pasar?
La realidad fue que la inmensa mayoría de las entidades no tenían un plan de contingencia y continuidad de negocio que les hubiera ayudado a analizar previamente futuros escenarios y prever políticas de seguridad de la información. No tuvieron tiempo de aplicar las medidas técnicas y organizativa necesarias para garantizar un trabajo seguro y eficaz.
Muchas empresas hubieran evitado, por ejemplo, haber tenido expuesto públicamente su servidor en Internet para que sus trabajadores pudieran conectarse remotamente a sus escritorios. Además, la confidencialidad de la información no se hubiera visto afectada si se hubieran seguido unas políticas de seguridad adaptadas al teletrabajo en la que se determine como medida de seguridad organizativa, por ejemplo, la concienciación y formación del personal en ciberseguridad laboral y personal.
Las brechas de seguridad se incrementaron exponencialmente debido al uso masivo de las nuevas tecnologías y la imperiosa necesidad de la digitalización de la información. Durante la pandemia se llegaron a producir más de un millón de ataques diarios sobre protocolos de control remoto, según la noticia publicada por el Real Instituto ELCano.
¿Cómo podemos prepararnos para conseguir una eficiencia y seguridad en el teletrabajo?
Ya no basta con tener unas oficinas e instalaciones a prueba de robos con cerraduras potentes y sistemas anti alarma, ahora, se hace preciso que esa misma seguridad, que mantenga la información a salvo, podamos garantizarla en los domicilios de nuestro personal laboral.
Aplicación de medidas técnicas y organizativas tales como, las indicadas por la Unidad de Evaluación y Estudios Tecnológicos de la AEPD:
1º Definir una política de protección de datos y seguridad de la información.
Esta política tendrá que tener en cuenta, las formas de acceso remoto, que tipo de dispositivos son válidos, el nivel de acceso permitido según los perfiles, identificación del punto de contacto para comunicar cualquier incidente. El personal debe estar suficientemente informado de estas políticas, además de formado en todos los riesgos digitales. Ante los ataques y amenazas digitales la mejor protección es la concienciación y formación de los trabajadores.
2º Elegir soluciones y prestadores de servicio confiables y con garantías.
Se debe recurrir a proveedores y encargados de tratamiento que cumplan con los términos del artículo 28.3 del RGPD.
3º Restringir el acceso a la información.
Se restringirá el acceso a la información en función de los perfiles y los dispositivos utilizados.
4º Configurar periódicamente los equipos y dispositivos utilizados.
Entre otros procedimientos a aplicar, los servidores de acceso remoto se tienen que revisar y asegurar que están correctamente instalados.
5º Monitorizar los accesos realizados a la red corporativa desde el exterior.
Para ello hay que informar al personal de las políticas de protección de la información, sobre la existencia de las actividades de control y supervisión.
6º Gestionar racionalmente la protección de datos y la seguridad.
Las medidas y garantías que se apliquen, deben obtenerse de un análisis de riesgos. Habrá que planificar y evaluar las aplicaciones y soluciones de acceso remoto teniendo en cuenta los principios de privacidad desde el diseño y por defecto.