Teletrabajo y ciberseguridad: ¿Se puede trabajar desde casa sin comprometer la seguridad de la información y los datos personales de la empresa?

Cada día va siendo más habitual que el desempeño laboral se realice sin la necesidad de que el trabajador esté presente físicamente en la empresa durante su horario laboral. Esta modalidad de trabajo presenta numerosas ventajas para los empleados, ya que permite una cierta flexibilidad de horarios, conciliar de una mejor forma la vida personal con las responsabilidades laborales, flexibilidad geográfica y un ahorro en costes y en tiempo al no tener que desplazarse al lugar de trabajo. Para las empresas supone una ventaja en tanto en cuanto aumenta la productividad de los empleados, supone un ahorro en costes (espacio y recursos en la empresa) y favorece la atracción del talento y su retención.

En la mayoría de los casos, este teletrabajo puede realizarse desde casa, aunque también puede realizarse desde cualquier lugar con acceso a internet (ya sea por viajes de trabajo o trabajar desde una cafetería). Aunque, a pesar de las ventajas nombradas anteriormente, también aumentan las posibilidades de que las empresas sufran una violación de la seguridad de los datos.

Para ello, debemos tener en cuenta (tanto empresas como trabajadores) algunos aspectos tales como:

Establecer una política de ciberseguridad en la compañía:

En él deben recogerse todos los planes, procedimientos y procesos de cómo ha de proteger una empresa su información y sus activos. La principal finalidad de este documento es preservar la confidencialidad e integridad de la información, determinando y regulando un uso adecuado y eficiente de los medios técnicos, informáticos y de comunicación electrónica, evitando determinadas prácticas en la utilización incorrecta o inadecuada de los mismos y determinando unas pautas claras sobre las obligaciones de confidencialidad de la información de la empresa.

Esta política debe contemplar la manera en que los empleados de la compañía utilizan dichos sistemas e informarles sobre sus responsabilidades y obligaciones en el manejo de la información corporativa. Entre los aspectos más importantes a tener en cuenta a la hora de redactar este documento se encuentran:

  • Controles de acceso
  • Seguridad física
  • Uso adecuado de activos
  • Transferencias de información
  • Uso de dispositivos móviles y corporativos
  • Uso e instalación de software
  • Copias de respaldo
  • Gestión de incidentes o brechas de seguridad
  • Plan de continuidad de negocio…

Esta política debe ser conocida por todos los empleados, ya que pretende concienciar sobre la necesidad de utilizar correctamente los medios proporcionados por la empresa en aras de garantizar la calidad y confidencialidad de la información, por lo que deberá ser firmada por todos ellos.

Para las tablets y los smartphones corporativos:

Sin lugar a dudas, supone un refuerzo en la productividad laboral el uso de estos dispositivos por parte de los empleados, permitiendo tener las notas actualizadas sobre la marcha, enviar y recibir coreos electrónicos y su visualización instantánea, haciéndolos idóneos para viajes de negocios, utilizarlos en recepciones abiertas en los centros de atención al cliente por su comodidad y ligereza.

Pero el robo y el acceso no autorizado a datos personales se multiplica exponencialmente, por lo que estos dispositivos deben cumplir unos criterios mínimos de seguridad, tales como:

  • Limitar el acceso al dispositivo mediante un bloqueo con contraseña, patrón o similar.
  • Disponer de medidas para poder localizar el dispositivo o hacer un borrado remoto en caso de pérdida o robo.
  • Realizar copias de seguridad de la información contenida en el dispositivo.
  • Actualizar el sistema operativo y el software a las versiones más recientes, así como disponer de antivirus o medidas para prevenir y detectar malware.
  • Desactivar las conexiones inalámbricas que no se estén utilizando (Wi-Fi, Bluetooth o NFC).

BYOD (Bring Your Own Device)

Es cada vez más habitual que las empresas, para reducir costes y aumentar la productividad, permitan utilizar dispositivos personales como sustitutos de los equipos de trabajo tradicionales. Esta práctica conlleva una serie de problemas de seguridad, ya que la administración de los equipos queda delegada en el “buen hacer” del empleado. Para implantar una política de BYOD en una organización, deberá realizarse un análisis de riesgos y, en caso de considerarse adecuado, tomar una serie de medidas técnicas y organizativas como:

  • Establecer políticas organizativas indicando los usos adecuados de los equipos y los que no lo son, además de obtener un compromiso por parte del trabajador con respecto a la seguridad de la información que se vaya a tratar en el dispositivo.
  • Documentar los derechos y obligaciones de la empresa y del trabajador, detallando en qué casos el equipo va a poder ser auditado por parte de la empresa.
  • Establecer medidas para evitar el acceso fortuito a información corporativa por otros usuarios del equipo, como familiares o amigos.

Conexión a internet:

Viajes de negocios, teletrabajo o atender a solicitudes de clientes en sus oficinas o la irrupción del BYOD hace que muchos trabajadores recurran a redes Wi-Fi que no cumplan con unos parámetros de seguridad adecuados. No se deben utilizar conexiones poco confiables, tales como conexiones Wi-Fi abiertas, redes públicas de hoteles, bibliotecas… Para ello, el INCIBE (Instituto Nacional de Ciberseguridad) recomienda implantar una política de uso de Wi-Fis y redes externas.

Una manera establecer una conexión segura a la red local de la empresa por medio de internet son las VPN (Virtual Private Network). Estas permiten extender la red local (LAN) sobre una red pública no segura como es Internet, haciendo que todo el tráfico generado mantenga la integridad y confidencialidad de la información y acceder a los recursos y servicios corporativos como si se estuviese físicamente en la empresa.  

Otra manera de acceder a la información corporativa es la opción de usar la red móvil, como la usada por los smartphones o los módems USB (3G/4G/5G) mediante la creación de un punto de acceso wifi para compartir la conexión.

A la hora de terminar la jornada laboral cuando los trabajadores se encuentran fuera de las instalaciones de la empresa tendrán que seguir también ciertas instrucciones como:

  • Cerrar todas las conexiones con servidores y webs utilizando la opción de “cerrar sesión” o “desconectar”.
  • Eliminar la información temporal en las carpetas de descargas, papelera de reciclaje o “mis documentos”.
  • Borrar el histórico de navegación, las cookies y otros datos, especialmente las contraseñas recordadas.

En conclusión, la información y los datos son unos de los activos más importantes para las empresas, por lo que es esencial que se creen documentos y protocolos específicos, se conciencie y se informe a los trabajadores sobre sus obligaciones y responsabilidades respecto de la información que tratan fuera de las instalaciones de la empresa para crear una cultura de cumplimiento corporativa y evitar incidentes de seguridad.

Jorge Carranza, Legal Counsel, L-A.

¿Comenzamos?

Cuéntanos un poco sobre tu negocio y te contactaremos en menos de 24 horas.