En els últims dies milers de professionals han deixat d’acudir a les seves oficines i centres de treball a causa de les mesures imposades per la situació d’emergència produïda per la pandèmia de virus COVID-19. El teletreball o treball des del mateix domicili s’ha convertit en una pràctica habitual. Això imposa canvis inevitables en els processos de treball i en la gestió documental. En treballar en remot sorgeixen nous riscos de bretxa en les dades amb què s’està treballant, que havien quedat solucionats amb els procediments implantats en l’empresa però que tornen a sorgir al canviar el lloc i les condicions de treball. Aquests riscos són principalment:

Riscos intrínsecs a l’ús de dispositius no habituals.

  • Robatori o pèrdua de dispositius
  • Accessos no autoritzats als dispositius
  • Ús de dispositius personals per a tasques professionals (ordinador, telèfon, tauleta)

Riscos relatius al tractament i transmissió de la informació.

  • Xarxes poc segures
  • Emmagatzematge de dades, físic o virtual, en mitjans o serveis no protegits
  • Enviaments de fitxers de dades o documents que inclouen dades protegides.

És d’esperar que la present situació sigui de durada determinada, però el que s’ha fet evident és que, a curt i mitjà termini, tots negocis haurien de revisar la seva avaluació de riscos i adaptar els seus protocols i mesures de protecció de dades en conseqüència per cobrir també les situacions de teletreball.

Per quedar coberts en la situació actual hi ha algunes mesures que poden implantar-se de forma ràpida i que els oferim a continuació a manera de “guia d’emergència”. Per això recomanem revisar les casuístiques més evidents i prendre unes mesures bàsiques de seguretat i bones pràctiques per minimitzar el risc de bretxa o accés no autoritzat:

Guia ràpida per minimitzar els riscos sobre la protecció de les dades personals en situacions de teletreball

Pel que fa a riscos intrínsecs a l’ús de dispositius no habituals:

L’empresa o organització ha de mantenir un registre dels equips que surten de les instal·lacions, dates de sortida, usuari i ús que es preveu.

Els dispositius de treball no han d’estar desatesos en llocs públics.

S’ha d’utilitzar contrasenyes segures, alfanumèriques i d’un mínim de vuit caràcters per a l’accés als dispositius. Evitar sistemes biomètrics (empremta) o gestuals.

No s’ha de permetre a menors o altres membres de la família l’accés al dispositiu d’ús professional. En cas que s’utilitzin dispositius personals (BYOD) o no sigui possible per raons de necessitat o conveniència, s’ha de crear perfils diferenciats d’accés al dispositiu amb permisos restringits.

Les persones alienes a l’organització, incloent-hi amics i familiars, no han de veure la informació amb la qual s’està treballant, la pantalla ha de quedar bloquejada quan no estiguem presents, és recomanable configurar que l’activació automàtica de l’estalvi de pantalla i bloqueig s’activin en el menor temps possible.

Pel que fa a la seguretat de la transmissió i tractament de la informació:

S’ha d’utilitzar sempre xarxes sense fil privades xifrades amb contrasenya. Si anem a utilitzar la xarxa domèstica per a ús professional, és molt recomanable canviar primer la contrasenya.

La informació sensible ha d’estar emmagatzemada en carpetes xifrades protegides amb contrasenya. Aquest és un procés relativament fàcil i ràpid. En els següents enllaços s’explica com protegir les carpetes de forma senzilla, tant en dispositius Windows com Apple:

Guia per al xifrat de carpetes en Windows

Guia per al xifrat de carpetes en macOS

Si cal utilitzar discos durs externs o memòries usb, aquests també han d’estar SEMPRE protegits amb contrasenya d’accés i, si és possible, xifrats.

Els fitxers o documents amb informació que s’han d’enviar per correu electrònic o altres serveis de transmissió de dades (WeTransfer, per exemple) estaran sempre comprimits en format zip xifrat i protegits amb una clau d’inscripció alfanumèrica de vuit caràcters com a mínim. És important que la contrasenya es faci arribar al destinatari per un altre mitjà diferent del correu o missatge en el qual s’envien els fitxers (SMS, trucada telefònica, etc.).

L’emmagatzematge mitjançant sistemes com Dropbox o Google Drive és desaconsellable més enllà d’ocasions puntuals i exclusivament per a fitxers que no continguin dades d’especial sensibilitat. En cas que sigui necessari hem d’assegurar que els permisos d’accés siguin els correctes i personalitzats per a cada arxiu o document.

DPO Consulting, Consultors de Protecció de Dades
E: info@dpoconsulting.cat

Barcelona

Vilanova i la Geltrú

Tarragona