Seguridad y protección de datos, cruciales en tiempos de teletrabajo

El tratamiento de los datos personales es un tema sensible, primero por el respeto a los derechos de los propietarios de estos datos, y en segundo lugar, para cumplir el RGPD y evitar sanciones y daños a nivel corporativo.

Si en la “vieja normalidad” se requería de profesionales en esta materia para garantizar el cumplimento de las mismas, en esta “nueva normalidad” en el que el teletrabajo y la movilidad son una necesidad, esta labor puede convertirse en un auténtico quebradero de cabeza “con tantos datos de un lugar a otro”.

Para tratar de facilitar este desafío la Agencia Española de Protección de Datos publicó una nota técnica con recomendaciones para proteger los datos personales en situación de movilidad y teletrabajo. Hoy repasamos dichas recomendaciones y os traemos algunos consejos, que pueden ayudar a mitigar los riesgos asociados a las soluciones de urgencia que conllevan movilidad cuando no tenemos un plan para ello.

Lo primero que debemos hacer es definir una política de protección de la información en situaciones de movilidad. Para ello debemos basarnos en la política de protección de datos y seguridad de la organización, adaptándola a las necesidades concretas y los riesgos que implica la movilidad de los activos de información. Es muy importante definir estrictamente las formas de acceso remoto a la información y la forma adecuada de hacerlo, además debemos definir claramente las responsabilidades y obligaciones que deben asumir los empleados que accedan en remoto (por ejemplo, se puede exigir que nunca se usen conexiones públicas y en caso de necesidad siempre se haga bajo VPN). Para que esto último tenga sentido, deberemos dotar al personal de guías funcionales (como hacer uso del VPN por ejemplo) y formar frente las principales amenazas a las que se pueden enfrentar (Por ejemplo el incremento del phishing dedicado al covid). Se debe establecer un punto de contacto de incidencias (así como definir canales y formatos) y firmar un acuerdo de teletrabajo.

Otros puntos que debemos elegir bien son: Los proveedores de servicio y el acceso a la información.

No debemos utilizar tecnologías de teletrabajo que no sean robustas o poco confiables, hay que recurrir a proveedores con soluciones probadas y con garantías, exigiendo por contrato un cumplimiento de servicio mínimo, así como la garantía de que si estos acceden a datos de carácter personal deben tener su encargado responsable (el que debe cumplir con el 28.3 del RGPD) .

Respecto al acceso a la información deberemos ser más restrictivos incluso que con los controles presenciales, debemos garantizar que los usuarios tengan el mínimo acceso necesario que permita realizar su actividad.

Además, será necesario prestar especial atención en que se mantienen actualizados los equipos y las soluciones que permiten la movilidad, deshabilitando USB y comunicaciones que no sean necesarias para la actividad (NFC, Bluetooth…).

Por parte de la empresa se deberá monitorizar todas sus conexiones desde el exterior, vigilando que toda la actividad registrada es adecuada y no hay anomalías.

Esto de cara a la organización, pero ¿Qué podemos hacer los que trabajamos con datos sensibles?

  1. Respetar la política definida (¡Que para eso nos molestamos en hacerlas!)
  2. Proteger el dispositivo, usando contraseñas robustas y no descargando soluciones de terceros que no hayan sido autorizadas por la organización.
  3. No usar el dispositivo con fines personales (Correo personal, RRSS, juegos…)
  4. Prestar especial atención de no perder el dispositivo, y garantizar que tenemos el disco cifrado con soluciones como bitlocker para evitar el acceso a la información sensible en caso de perdida.
  5. Si hay sospecha de que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad.

Esperamos que estas pautas hayan sido de utilidad para garantizar la seguridad de nuestros activos de información, y sobre todo que esta nueva situación os sea a todos lo menos dura posible.

Si tienes cualquier duda, o quieres entrar en detalle de como securizar tu organización no dudes en contactarnos en Legitec estaremos encantados de poder ayudarte, somos una empresa con amplia experiencia tanto en el sector legal como tecnológico.

Autor: Alejandro Cano (Consultor de Ciberseguridad)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.