Coronavirus (COVID-19), teletrabajo, protección de datos y seguridad de la información - Tic&Law
21885
post-template-default,single,single-post,postid-21885,single-format-standard,ajax_fade,page_not_loaded,,select-theme-ver-2.4.1,wpb-js-composer js-comp-ver-4.7.4,vc_responsive

Coronavirus (COVID-19), teletrabajo, protección de datos y seguridad de la información

Como consecuencia del pandemia del COVID-19, el artículo 5 del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 establece el carácter preferente del trabajo a distancia o teletrabajo. Si bien la aplicación de las nuevas tecnologías en el ámbito laboral conlleva un gran número de ventajas, no hay que olvidar que también aumenta exponencialmente los riesgos que pueden generarse en materia de protección de datos y de seguridad de la información, especialmente si se implantan de forma repentina y sin la formación adecuada. Los principales riesgos son:

    • La intrusión o acceso por terceros no autorizados a la información o a la red de recursos de la compañía.
    • La fuga de la información o pérdida de confidencialidad de la misma.
    • La pérdida de control o acceso a la información de la compañía por prácticas no seguras como el almacenamiento de la información en los dispositivos personales de los empleados, la conexión a redes no seguras, la falta de configuración de la seguridad de los routers domésticos o la instalación de aplicaciones y/o programas no autorizados por la compañía.

 

La implantación del teletrabajo debe necesariamente ir acompañada de la aplicación de las correspondientes medidas de seguridad y de control adicionales para garantizar la seguridad, integridad, confidencialidad y disponibilidad de la información de la compañía. Dichas medidas deberán establecerse como resultado del trabajo coordinado del responsable de la seguridad de la información y de la asesoría jurídica de cada empresa y deberán ser especialmente robustas y estrictas en aquellos supuestos en los que el personal emplee sus dispositivos personales para desarrollar su actividad laboral o la información a tratar incluya datos de categorías sensibles (datos de salud, datos biométricos con fines de identificación, afiliación sindical, etc.):

1. Si el teletrabajo se desempeña con recursos facilitados por la empresa, la empresa debe facilitar un protocolo que facilite las instrucciones técnicas y de seguridad que todos los empleados deben cumplir de forma estricta en su uso y conexión. Los dispositivos corporativos deberán estar previamente configurados y monitorizados por el área responsable de la seguridad de la información.

2. Si la empresa permite el uso de dispositivos personales para teletrabajar, es indispensable que la empresa facilite instrucciones precisas y claras sobre:

          • La protección del dispositivo: contar con un antivirus, un firewall, un sistema operativo y los programas (software) debidamente actualizados.
          • La protección de la información: utilizar exclusivamente la cuenta de correo y programas facilitados por la empresa, guardar y almacenar toda la información en el servidor o cloud de la empresa, dotar de herramientas de borrado seguro y de cifrado de la información y/o del disco duro (Undelete 360, Eraser), aplicar cifrado sobre dispositivos de almacenamiento extraíbles (USB).
          • La protección de las comunicaciones: Facilitar una conexión al servidor de la empresa únicamente a través de una Red Privada Virtual (VPN) previamente habilitada (Sistemas gratuitos VPN: Cyberghost, Hide.me, Opera VPN), aplicar las medidas de seguridad básicas en red wi-fi, tales como la configuración de contraseña, no usar redes wi-fi abiertas y/o públicas.

 

Con el fin de evitar la materialización de los antecitados riesgos y, además, evitar incurrir en posibles sanciones por incumplimiento de la normativa vigente en materia de protección de datos, desde nifled tic&law recomendamos:

    • Realizar un análisis de los riesgos asociados al teletrabajo en el contexto y casuística particular de cada empresa.
    • Definir y adoptar las medidas técnicas, organizativas y jurídicas necesarias para mitigar tales riesgos (políticas, normas técnicas o códigos de conducta sobre el correcto uso de los dispositivos informáticos y de la información de la compañía), especialmente cuando los empleados utilicen sus propios dispositivos personales para el desempeño de su actividad.
    • Informar a los empleados sobre los canales de comunicación con la empresa y los protocolos de actuación en caso de incidencias de seguridad o que afecten a la información de la compañía.

 

Para ampliar esta información, recomendamos el análisis de las Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo que la Agencia Española de Protección de Datos ha publicado hoy, así como las recomendaciones del Instituto Nacional de Ciberseguridad (INCIBE) que publica con asiduidad en su página web.

El equipo de nifled tic&law está a vuestra disposición para resolver cualquier duda o cuestión que os pueda surgir con respecto a las acciones necesarias para implementar de forma segura y eficiente el teletrabajo.

No hay comentarios.

Sorry, the comment form is closed at this time.