En este artículo enumeraremos las medidas técnicas mínimas dirigidas a la protección de datos en el teletrabajo. Las medidas técnicas son básicamente los sistemas de seguridad aplicados a las tecnologías utilizadas en el tratamiento de los datos personales. Entre ellas nos encontramos con lo que conocemos como ciberseguridad o seguridad de tecnología de la información.
No existe un catálogo que nos indique qué medidas técnicas debemos aplicar. Cumpliendo con el principio de responsabilidad proactiva, la empresa tiene que identificar y evaluar los posibles riesgos para implantar las medidas que considere más adecuadas para minimizar dichos riesgos. Además deberá contar con los sistemas de control que permitan medir y acreditar que dichas medidas técnicas funcionan.
Estas medidas no van encaminadas solamente a garantizar que los equipos informáticos funcionen adecuadamente, ni a evitar o minimizar los riesgos de que algo afecte a su funcionamiento, sino que se incluyen también medidas dirigidas específicamente a los teletrabajadores, de forma que el uso que ellos hacen de los equipos no vulnere la información que manejan. Entre las medidas técnicas tendríamos:
Propiedad y mantenimiento del equipo
La empresa facilitará el equipamiento necesario al teletrabajador. Este equipamiento estará ya configurado conforme a las necesidades de la labor a desarrollar, siendo obligación del usuario no hacer cambios no autorizados en el mismo, así como seguir las instrucciones de uso que le de la empresa, realizando un uso exclusivamente profesional.
En el caso en que el teletrabajador utilice su propio equipamiento para desempeñar sus labor, será el responsable de su configuración para adaptarlo a las medidas de seguridad requeridas para teletrabajar, siguiendo las indicaciones de la empresa. En cualquier caso, la empresa le prestará todo el apoyo técnico necesario.
Mantenimiento del sistema operativo y del software
Atendiendo siempre a las especificaciones de cada sistema en lo relativo a su instalación y mantenimiento, se debe mantener siempre actualizado ya que los parches, mejoras y nuevas versiones van dirigidas en la mayoría de los casos a salvaguardar la seguridad de los datos.
Esto es aplicable al resto de programas que se utilicen, navegadores, aplicaciones, etc. hay que asegurarse de tener siempre instalada su última versión.
Instalar un antivirus y un cortafuegos
Instalar y mantener actualizados un antivirus y un cortafuegos. El mejor aliado para estas herramientas es el sentido común:
- Nunca se debe ejecutar un programa o seguir un enlace que parezca poco fiable.
- No se deben ejecutar ficheros cuya procedencia desconocida, lo mismo es aplicable a dispositivos USB.
Estas medidas son también aplicables a móviles y tablets.
Comunicación con los servidores de la empresa
No se deben utilizar conexiones poco fiables (conexiones Wi-Fi abiertas, redes públicas), ya que las medidas de seguridad implementadas son desconocidas.
Tampoco basta con que la red tenga establecida una contraseña pues los propietarios podrían monitorizar el tráfico de la misma.
Lo más seguro para la empresa es implantar una Red Privada Virtual (VPN), creando una conexión privada entre dos dispositivos, por ejemplo, entre el equipo del trabajador y el servidor de la empresa, de tal modo que se garantice la confidencialidad y la integridad de los datos.
Revisa la configuración del router
Los routers vienen con una contraseña por defecto, la que viene en la pegatina que trae por debajo, la cual es fácilmente localizable en internet si se conoce el modelo del mismo, además, las compañías de telecomunicaciones suelen poner unos modelos determinados y conocidos.
Por este motivo se debe cambiar la contraseña del router por una robusta y revisar la configuración del mismo para asegurarse de que todas las medidas básicas de seguridad están establecidas.
Control de acceso a los equipos
Es esencial que cada usuario, aunque el equipo sea solamente utilizado por el teletrabajador, disponga de un perfil y de una contraseña. Así, si el ordenador es propiedad del teletrabajador o pertenece a la empresa con autorización para su uso doméstico, habrá de tener diferentes cuentas de usuario donde se utilizará una para teletrabajo y otra para asuntos personales.
Esta medida debe ir aparejada a un procedimiento de gestión de derechos de acceso, es decir, solamente el perfil asociado al teletrabajo deberá tener acceso a los datos y recursos de la empresa. De ningún modo se podrá tener acceso a dicha información utilizando la cuenta de uso doméstico.
Generación y custodia de contraseñas
Las contraseñas deberán ser robustas, es decir, formadas por, al menos, 8 caracteres que incluyan mayúsculas, minúsculas, números y caracteres especiales.
No se deben compartir nunca con nadie y no se debe utilizar la misma para diferentes servicios. En caso de que resulte difícil memorizar todas las contraseñas, no se deben apuntar en ningún sitio, lo recomendable es utilizar un gestor de contraseñas, programas que son muy útiles y sencillos de manejar.
Por último, las contraseñas deberán ser actualizadas periódicamente, evitando su reutilización, es decir, no se debe usar una contraseña antigua.
Bloqueo de pantalla
Para evitar accesos no autorizados a los datos personales, se debe instalar un procedimiento de bloqueo de los equipos. De este modo se activará el protector de pantalla y será necesario volver a escribir la contraseña para su desbloqueo.
Si el equipo es de uso compartido esta medida no va a impedir el uso del mismo por otra persona, ya que podrá acceder a su propio perfil desde el protector de pantalla.
Salvaguarda la información
Se deben realizar periódicamente copias de seguridad de la información que se vaya generando o almacenando en los dispositivos para no perderla en caso de que se produzca algún incidente. Si el teletrabajador utiliza un equipo facilitado por la empresa seguramente tenga configuradas las copias de seguridad automáticas.
Las herramientas de procesamiento de textos, hojas de cálculo, etc., suelen tener disponible la opción de crear reglas de generación de guardado automático.
Uso de dispositivos de almacenamiento extraíbles
Nos referimos a pendrives, tarjetas de memoria y discos duros externos (podrían ser también cds y dvds pero son soportes en desuso).
Hay que evitar dentro de lo que sea posible su uso, ya que son dispositivos con gran riesgo de robo o pérdida.
En caso de ser necesario, lo mejor es utilizar contraseñas de acceso y sistemas de cifrado de los datos. Se deben identificar y guardar de manera que no estén al alcance de terceros.
Mejora la seguridad y privacidad al navegar en Internet
Una de las principales amenazas para la privacidad y la protección de datos son los engaños a través de Internet. Los ciberdelincuentes lanzan sus redes a través de páginas web, correos electrónicos, aplicaciones de mensajería instantánea, redes sociales, etc., es la llamada ingeniería social.
Se debe configurar adecuadamente el nivel de seguridad del navegador utilizado, esta función se puede encontrar en las opciones del navegador.
Se debe comprobar la fiabilidad de las páginas web que se visitan, especialmente si se facilitan datos personales a la hora de registrarte o enviar formularios.
Si se recibe un enlace por correo electrónico o por mensaje, se tiene que revisar la dirección de la web antes de hacer clic y si parece sospechoso no se debe abrir.
No se pueden utilizar aplicaciones que no se hayan descargado de un sitio web oficial, de otra manera se expone al equipo a virus y programas maliciosos.
Destrucción de soportes
Cuando se deseche un soporte con datos personales deberán adoptarse las medidas necesarias para evitar el acceso a dichos los datos o su recuperación posterior.
Los procedimientos más eficaces para evitar la recuperación de los datos contenidos en estos soportes serían la desmagnetización y la destrucción física.
Al teletrabajar puede ser más complicado ya que, por norma general, no se dispone de los mismos medios que sí tiene la empresa en el centro de trabajo, por ejemplo, una destructora.
Si es imposible destruir los soportes con garantías, se deben almacenar de tal forma que se eviten accesos por parte de personas no autorizadas. Posteriormente, dichos soportes se deben trasladar a las dependencias de la empresa para su procesamiento.
En cuanto a los archivos temporales generados durante el desarrollo de la actividad, deberán eliminarse al finalizar la jornada laboral.
Cerrarlo todo al finalizar
Una vez terminada la jornada y teniendo en cuenta el acceso que pueden tener otros residentes en el domicilio al equipo, es muy importante:
- Cerrar todas las sesiones que pudiéramos tener abiertas (correo electrónico, conexión a servidores, almacenamiento en la nube, programas de gestión, etc.).
- Eliminar definitivamente aquellos archivos que se hubieran enviado a la papelera y los archivos temporales de carpetas de descarga.
- Quitar cualquier dispositivo de almacenamiento, como pendrives, que se hayan utilizado, los cuales deberán ser guardados en lugar seguro.
Si tienes alguna duda sobre estas medidas técnicas puedes llamarnos al 958 415 736 o hacérnosla llegar a través de cualquiera de los otros canales que ponemos a tu disposición.