Es cada vez más frecuente que, tanto jefes como empleados que tienen la opción de teletrabajar, adelanten su desplazamiento a su segunda residencia o a cualquier destino vacacional antes de comenzar sus vacaciones, para poder disfrutar del privilegio de estar en la playa, la montaña, el pueblo o la sierra una vez finalizan su jornada laboral. De este modo, el verano parece alargarse y las vacaciones nos cunden más. Pero también en esos entornos es importante mantener algunas pautas que garanticen que el placer de estar trabajando desde el jardín o la terraza mientras nos acaricia la brisa marina no se convierta en un dolor de cabeza a causa del daño causado por un ciberdelincuente.

Os dejamos con estas siete recomendaciones a tener en cuenta para mantener nuestro negocio a salvo y disfrutar de un verano sin sobresaltos:

• HAZ COPIAS DE SEGURIDAD. Antes de cerrar por vacaciones, recuerda hacer una copia de seguridad de todos tus dispositivos: ordenadores, tablets, smartphones… cualquier soporte en el que utilices o almacenes información de la empresa. Cuando estamos fuera de casa utilizamos más los dispositivos móviles y eso hace que los incidentes en los que estos sean los protagonistas se incrementen durante este período. Lo ideal es que esa copia de seguridad quede almacenada en un servidor externo, de donde puedas rescatarla si así lo necesitas.
• NO TODOS LOS LUGARES PÚBLICOS PARA CARGAR MÓVILES Y TABLETS SON SEGUROS. Es desaconsejable utilizar los puntos de recarga a través de puertos USB que encontramos en lugares turísticos, pues no todos cuentan con las herramientas de seguridad necesarias y pueden convertirse en puertas de entrada de software malicioso que se haga con tus contraseñas y tus datos sensibles.
• EVITA CONECTARTE A REDES PÚBLICAS ABIERTAS Y GRATUITAS. Del mismo modo, las redes wifi abiertas no siempre cuentan con sistemas de protección frente a ciberdelincuentes y son una de las fuentes de robo de datos más accesibles. Para poder conectarse a una de estas redes wifi con tranquilidad es recomendable contar una red privada virtual (VPN) que protege el acceso a tu información.
• REVISA TUS CONTRASEÑAS. Ya habrás oído varias veces que no es aconsejable utilizar siempre la misma contraseña. El verano puede ser un buen momento para cambiarlas, aprovechando a utilizar otras más sólidas, que incluyan mayúsculas y minúsculas, letras y números y caracteres especiales.
• NADIE REGALA NADA: NO ATIENDAS SOLICITUDES EXTRAÑAS. Existen numerosos tipos de fraudes en los que los delincuentes se aprovechan de la confianza de las personas para obtener dinero o información confidencial que les permita realizar un delito posterior. No hagas caso de los mensajes en los que recibas ofertas y chollos, ni de sorteos en los que has resultado ganador, ni de avisos de recogida de paquetes que no has solicitado. Seguro que detrás no hay alguien con buenas intenciones.
• MANTENTE ALERTA ANTE TODO AQUELLO QUE CONSIDERES SOSPECHOSO. En verano tienes más tiempo para revisar el correo personal, en el que recibes cosas de todo tipo y procedencia. Están aumentando enormemente los intentos de fraude mediante suplantación de identidad de bancos, aseguradoras, compañías suministradoras de servicios, etc. Desconfía de todo aquello que te haga sospechar y ante la duda, no lo abras, bórralo directamente.
• NO DES PISTAS DE TU LUGAR DE VACACIONES HASTA TU REGRESO. Hoy día las redes sociales invitan a compartirlo todo: dónde estamos, qué estamos haciendo… Evita comentar y colgar fotos durante el tiempo en que estás fuera, puedes dar facilidades para que en tu ausencia roben en tu negocio o en tu domicilio. Puedes compartirlo sin riesgo cuando ya estés de regreso.

El verano nos proporciona una desconexión necesaria e imprescindible para nuestro cuerpo y nuestra mente, la recarga de baterías que nos permite seguir dándolo todo el resto del año. Pero “los malos” no cierran por vacaciones. Disfrutemos sin bajar la guardia.

Si se produce una brecha de seguridad hay que comunicarla inmediatamente; te ayudamos a proteger tus datos y a darte las pautas que necesitas para conseguirlo.

En protección de datos, confía en Data Protect Plus.

Fuente: RRHHDigital

La entrada 7 consejos para mantener tu negocio a salvo de ciberataques si teletrabajas en vacaciones se publicó primero en DataProtectPlus.

La Agencia Española de Protección de Datos (AEPD) ha emitido una serie de recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo.

La organización, como responsable del tratamiento, puede tomar la decisión de que determinadas actividades de su empresa se ejecuten en situaciones de movilidad y teletrabajo.

Dicha decisión puede formar parte de la estrategia de gestión, general o parcial para determinadas áreas o actividades (por ejemplo, personal que viaja con frecuencia) o puede ser motivada por situaciones excepcionales e incluso de fuerza mayor.

Primer caso. Estrategia general: En este caso hay que realizar una planificación previa.

Segundo caso. Por circunstancias excepcionales o fuerza mayor. En este caso, como ha sucedido con el Covid-19, las circunstancias de urgencia pueden obligar a poner en marcha soluciones con carácter provisional.

Cuando esto sucede, advierten desde la AEPD en esta Nota Técnica, es obligatorio, en paralelo y sobre todo cuando la situación se prolonga, realizar una reflexión y una adecuación de la implementación del teletrabajo.

En definitiva, la empresa y los empleados que están teletrabajando deben tener en cuenta las siguientes recomendaciones.

RECOMENDACIONES DIRIGIDAS A RESPONSABLES DEL TRATAMIENTO

El responsable del tratamiento tendrá que adecuar estas recomendaciones a la situación concreta de su objeto de negocio:

1. Definir una política de protección de la información para situaciones de movilidad

Basada en la política de protección de datos y seguridad de la información de la entidad, y formando parte de ella, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.

En dicha política hay que determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos. También deben definirse las responsabilidades y obligaciones que asumen las personas empleadas.

Es necesario proporcionar guías funcionales adaptadas a formar a las personas empleadas, derivadas de dichas políticas.

El personal también ha de estar informado de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices, tanto para los sujetos de los datos como para la persona trabajadora

En dichas guías se debe identificar un punto de contacto para comunicar cualquier incidente que afecte a datos de carácter personal, así como los canales y formatos adecuados para realizar dicha comunicación.

El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

2. Elegir soluciones y prestadores de servicio confiables y con garantías

Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería.

Hay que recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes que, en el mismo sentido, eviten la exposición de los datos personales del personal, interesados y servicios corporativos de la organización

Si estos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.

Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, de acuerdo con los términos establecidos en el artículo 28.3 del RGPD.

3. Restringir el acceso a la información

Los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada, de una forma incluso más restrictiva respecto de los concedidos en los accesos desde la red interna.

A su vez, hay que aplicar restricciones de acceso adicionales en función del tipo de dispositivo desde el que se acceda a la información (equipos portátiles corporativos securizados, equipos personales externos y dispositivos móviles como smartphones o tablets) y también dependiendo de la ubicación desde la que se accede.

4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad 

Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.

Los equipos corporativos utilizados como clientes tienen que: o estar actualizados a nivel de aplicación y sistema operativo, o tener deshabilitados los servicios que no sean necesarios.

Si se permite el uso de dispositivos personales de las personas empleadas, al suponer un mayor riesgo por no incorporar los mismos controles de los equipos corporativos, hay que exigir unos requisitos mínimos para poder utilizarlos en el establecimiento de conexiones remotas (por ejemplo, contar con un sistema operativo y software original y actualizado).

Unido a lo anterior, también hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.

5. Monitorizar los accesos realizados a la red corporativa desde el exterior

Entre otras recomendaciones, hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.

Además, la AEPD recuerda que las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.

6. Gestionar racionalmente la protección de datos y la seguridad

Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.

En la política deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos clientes de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.

Los recursos que pueden ser accedidos se han de limitar en función de la valoración del riesgo que represente una pérdida del dispositivo cliente y la exposición o acceso no autorizado a la información manejada.

Hay que planificar y evaluar la aplicaciones y soluciones de acceso remoto teniendo en cuenta los principios de privacidad desde el diseño y por defecto a lo largo de todas las etapas de despliegue de la solución: desde la definición de los requisitos y necesidades hasta la retirada de la misma o de alguno de sus componentes.

Desde Data Protect Plus podemos encontrar todas las soluciones que tu negocio necesita relativas al teletrabajo de tus empleados.

www.dataprotectplus.com

La entrada 6 recomendaciones sobre teletrabajo y protección de datos se publicó primero en DataProtectPlus.