En más de una compañía se han detectado casos de empleados contagiados por el Coronavirus, siendo este el asunto de mayor repercusión actual. En otras compañías, aun sin detectarse contagios, se ha optado por el teletrabajo como medida preventiva para salvaguardar la salud del personal.
El teletrabajo implica una serie de riesgos desde el punto de vista de la seguridad de la información, por lo que deben aplicarse medidas que garanticen la confidencialidad, integridad y disponibilidad de la información. El hecho de que el trabajo se desarrolle en el hogar no supone que la empresa o el empleado deban bajar la guardia respecto a los posibles riesgos que amenazan constantemente a los datos. Los empleados deben tomar en sus casas todas las precauciones posibles, porque los riesgos tecnológicos, lejos de disminuir pudieran verse incrementados.
No deben olvidarse que, el Reglamento General de Protección de Datos obliga a adoptar medidas técnicas y organizativas con enfoque de riesgos, para preservar la confidencialidad de los datos personales, resultando aplicable esta obligación tanto si se trabaja en la oficina como el domicilio del empleado. Por tanto, las empresas, dentro del protocolo de teletrabajo, deben recomendar una serie de medidas al personal laboral que puedan ser aplicadas en sus hogares, con el fin de salvaguardar la información y mitigar los riesgos.
Recomendaciones de seguridad que deben ser incluidas en los protocolos de teletrabajo:
-
Debe ser obligatorio el uso de antivirus, tanto en los ordenadores de la empresa, como en los personales que sean utilizados para trabajar.
-
De igual forma el acceso a los dispositivos utilizados se debe realizar mediante sistema de identificación y autenticación. Las contraseñas utilizadas deben ser complejas y robustas y cambiarse periódicamente.
-
En caso de utilizarse el ordenador personal del empleado para el desarrollo de sus funciones laborales, es recomendable crear una sección independiente para fines profesionales, separada de la sección personal.
-
Se deben realizar copias de seguridad de la información que se almacene en los ordenadores, como mínimo diarias, para evitar pérdida de información de valor para la compañía.
-
Si la información esta en la nube, la empresa deberá garantizar igualmente copias remotas frecuentes, cuyo almacenamiento deberá estar encriptado.
-
El funcionamiento del sistema de copias debe comprobarse realizando pruebas de contingencia frecuentes, para asegurar la recuperación en caso de incidente.
-
Los empleados deberán conectarse a la información de la empresa, solo si es verdaderamente necesario para desarrollar sus tareas, y en caso de ser indispensable, deberán hacerlo de forma segura a través de una red privada virtual o VPN (Virtual Private Network). La VPN garantiza que la información se trasmita de forma cifrada.
-
se deberá comprobar que el sistema operativo y aplicaciones están correctamente actualizados, ya que las actualizaciones a menudo corrigen brechas o vulnerabilidades de seguridad.
-
En caso de utilizar una red wifi para trabajar, no los empleados no deberán conectarse a redes desconocidas, mucho menos si estas no cuentan con claves o son usadas por muchas personas a la vez. Deberá prohibirse, salvo excepciones, el trabajo con redes de hoteles, cafeterías etc. Es conveniente utilizar la red wifi propia del móvil, o la de casa, antes de recurrir a una red pública. Si se utilizas la red de casa, el empleado deberá asegurarse de contar con una contraseña robusta y cambiarla periódicamente.
-
Se deben bloquear tus pantallas cuando el empleado se levante de tu sitio, y nunca dejar abierta o desatendida la información, aunque esté en su propia casa.
-
Se recomienda evitar dejar los dispositivos al alcance de sus hijos y familiares, ya que la información de la empresa solo le concierne al empleado, y dejarla desatendida puede suponer un riesgo, especialmente cuando está al alcance de niños pequeños que pueden usar los terminales para jugar y provocar daños como borrado o avería.
-
La empresa debe recordar a sus miembros que el teletrabajo no implica estar permanentemente conectado, sino que deben respetarse los descansos y horarios de acuerdo con el protocolo de desanexión digital para evitar la fatiga tecnológica.
De la misma forma que los empleados no dejan abierta la puerta de sus hogares a desconocidos, no deben dejar abierta la puerta a la información de su empresa, ya que la falta de diligencia podría paralizar el negocio en pocos minutos, causando daños económicos y reputacionales que podrían ser irreversibles para la compañía.
El incumplimiento de normas y políticas internas que deriven en incidentes de seguridad también podrían acarrear consecuencias para los empleados responsables, que pueden ir desde medidas disciplinarias hasta repercusiones penales. Los empleados deben estar concienciados en materia de protección de datos y ciberseguridad, ya que, aunque el riesgo nunca es cero, el estado de alerta aumenta considerablemente las posibilidades de prevenir y responder adecuadamente ante posibles sucesos. No obstante, si la empresa no orientó a sus miembros sobre los protocolos de seguridad a seguir ni advirtió de los posibles riesgos, poco podrá exigirles y menos aun responsabilizarles ante incidentes de seguridad.