En los últimos días miles de profesionales han dejado de acudir a sus oficinas y centros de trabajo a causa de las medidas impuestas por la situación de emergencia producida por la pandemia del virus COVID-19. El teletrabajo o trabajo desde el propio domicilio se ha convertido en una práctica habitual. Ello impone cambios inevitables en los procesos de trabajo y en la gestión documental. Al trabajar en remoto surgen nuevos riesgos de brecha en los datos con los que se está trabajando, que habían quedado solucionados con los procedimientos implantados en la empresa pero que vuelven a surgir al cambiar el lugar y las condiciones de trabajo. Estos riesgos son principalmente:

Riesgos intrínsecos al uso de dispositivos no habituales.

  • Robo o pérdida de dispositivos
    Accesos no autorizados a los dispositivos
    Uso de dispositivos personales para tareas profesionales (ordenador, teléfono, tableta)

Riesgos relativos al tratamiento y transmisión de la información.

  • Redes poco seguras
    Almacenamiento de datos, físico o virtual, en medios o servicios no protegidos
    Envíos de ficheros de datos o documentos que incluyen datos protegidos.

Es de esperar que la presente situación sea de duración determinada, pero lo que se ha hecho evidente es que, a corto y medio plazo, todos negocios deberían revisar su evaluación de riesgos y adaptar sus protocolos y medidas de protección de datos en consecuencia para cubrir también las situaciones de teletrabajo.

Para quedar cubiertos en la situación actual existen algunas medidas que pueden implantarse de forma rápida y que les ofrecemos a continuación a modo de “guía de emergencia”. Para ello recomendamos revisar las casuísticas más evidentes y tomar unas medidas básicas de seguridad y buenas prácticas para minimizar el riesgo de brecha o acceso no autorizado:

Guía rápida para minimizar los riesgos sobre la protección de los datos personales en situaciones de teletrabajo

En lo que respecta a riesgos intrínsecos al uso de dispositivos no habituales:

La empresa u organización debe mantener un registro de los equipos que salen de las instalaciones, fechas de salida, usuario y uso que se prevé.

Los dispositivos de trabajo no deben estar desatendidos en lugares públicos.

Se debe utilizar contraseñas seguras, alfanuméricas y de un mínimo de ocho caracteres para el acceso a los dispositivos. Evitar sistemas biométricos (huella) o gestuales.

No se debe permitir a menores u otros miembros de la familia el acceso al dispositivo de uso profesional. En caso de que se utilicen dispositivos personales (BYOD) o no sea posible por razones de necesidad o conveniencia, se debe crear perfiles diferenciados de acceso al dispositivo con permisos restringidos.

Las personas ajenas a la organización, incluyendo amigos y familiares, no deben ver la información con la que se está trabajando, la pantalla debe quedar bloqueada cuando no estemos presentes, es recomendable configurar que la activación automática del salvapantallas y bloqueo se activen en el menor tiempo posible.

En lo que respecta a la seguridad de la transmisión y tratamiento de la información:

Se debe utilizar siempre redes wi-fi privadas cifradas con contraseña. Si vamos a usar la red doméstica para uso profesional, es muy recomendable cambiar primero la contraseña.

La información sensible debe estar almacenada en carpetas cifradas protegidas con contraseña. Este es un proceso relativamente fácil y rápido. En los siguientes enlaces se explica cómo proteger las carpetas de forma sencilla, tanto en dispositivos Windows como Apple:

Guía para el cifrado de carpetas en Windows

Guía para el cifrado de carpetas en macOS

Si es necesario utilizar discos duros externos o memorias usb, estos también deben estar SIEMPRE protegidos con contraseña de acceso y, si es posible, cifrados.

Los ficheros o documentos con información que deban enviarse por correo electrónico u otros servicios de transmisión de datos (wetransfer, por ejemplo) estarán siempre comprimidos en formato zip cifrado y protegidos con una contraseña de acceso alfanumérica de ocho caracteres como mínimo. Es importante que la contraseña se haga llegar al destinatario por otro medio distinto del correo o mensaje en el que se envían los ficheros (SMS, llamada telefónica, etc.).

El almacenamiento mediante sistemas como Dropbox o Google Drive es desaconsejable más allá de ocasiones puntuales y exclusivamente para ficheros que no contengan datos de especial sensibilidad. En caso de que sea necesario debemos asegurarnos de que los permisos de acceso sean los correctos y personalizados para cada archivo o documento.

DPO Consulting, Consultors de Protecció de Dades
E: info@dpoconsulting.cat
T: +900 933 241

Barcelona

Vilanova i la Geltrú

Tarragona