Tiempo de lectura: 6 minutos
¿Están seguros los datos de su empresa fuera de la oficina? El Reglamento general de protección de datos (GDPR), que entra en vigor este mes, afectará a todas las organizaciones del mundo que recopilen o procesen datos personales sobre personas residentes en la UE. Los expertos en el cumplimiento del GDPR le recomiendan cómo proteger su negocio
Si su empresa cuenta con trabajadores a distancia, ya sabrá lo importante que es garantizar que los datos no se utilicen de manera incorrecta, se pierdan o se malversen. Además, con la entrada en vigor del Reglamento general de protección de datos (GDPR) este mes (mayo de 2018), también es importante que se asegure de estar cumpliendo con sus rigurosos requisitos; de lo contrario, se enfrentará a importantes daños financieros y en su reputación. ¿Cómo puede proteger los datos en movimiento y seguir disfrutando de las ventajas de contar con trabajadores realmente flexibles?
1. Forme a sus empleados
En el idioma del GDPR, su empresa es la "propietaria de la información" y sus empleados a distancia son los "manipuladores de la información". "Esto significa tanto usted como ellos juegan un papel importante a la hora de mantener los datos de su empresa seguros" comenta John Slaughter, Director general en Data Comply(1). "El cumplimiento del GDPR debe ser una de sus funciones diarias prioritarias, sobre todo si los empleados trabajan a distancia", añade. "Tener unas directrices claras sobre cómo utilizar redes seguras es clave; por eso, es necesario que identifique y que comunique qué registros están limitados a un entorno seguro". Además, aconseja a las empresas que formen, sigan formando y examinen a sus empleados con frecuencia para asegurarse de que conocen los problemas y de que siguen prácticas actualizadas.
Asimismo, las empresas deberían recordar a los empleados que las redes wifi públicas no son para nada seguras. "Una persona no debería realizar operaciones bancarias a través una red pública; por lo tanto, tampoco debería acceder a documentos de trabajo confidenciales", comenta Andy Kays, Director tecnológico especializado en detección y respuesta ante amenazas de Redscan(2). "Anime a sus empleados a utilizar solo puntos de acceso wifi seguros, o a conectarse a la red de la empresa a través de una conexión segura (VPN). Además, es conveniente conectarse a Internet a través de 4G (o dongle), que ofrece a los empleados una conexión segura y de calidad con el proveedor de servicios".
2. Proteja todo con contraseña
Posiblemente, el GDPR podrá aplicar multas de hasta el 4 % de la facturación global de la compañía en caso de filtraciones significativas de datos. La única excepción para evitar la multa es que consiga demostrar que los datos estaban correctamente cifrados.
"La seguridad infalible no existe, hasta la Nasa ha sufrido ataques", dice Andrei Hanganu, autor de EU GDPR Documentation Toolkit asentado en Rumanía(3). "Sin embargo, el uso de contraseñas seguras y soluciones de cifrado adecuadas le ayudarán a mantener sus datos personales seguros frente a usuarios no autorizados".
La mayoría de empresas tienen software para cifrar las unidades y los archivos que contienen, pero esta opción no se aplica automáticamente a los dispositivos remotos. Hanganu recomienda proporcionar el software de cifrado necesario para portátiles, móviles y equipos de sobremesa. El usuario simplemente necesitará un PIN o contraseña para acceder y descifrar los datos en un formato legible. Todos los trabajadores deberían acostumbrarse a proteger todo con contraseña.
3. Mantenga todo limpio
Los virus y los ataques de malware pueden recopilar y rastrear datos, por lo que también están contemplados en el GDPR. "Es muy difícil protegerse ante el malware, por eso, para la mayoría de las empresas, lo importante no es si pasará, sino cuándo", comenta Nigel Tozer, Director de Soluciones de marketing en EMEA de Commvault(4). Tozer recomienda asegurarse de que los dispositivos de los empleados estén protegidos con el software antivirus y los sistemas operativos más actualizados.
"Desde el punto de vista de la seguridad en las organizaciones, el ser humano es el eslabón más débil y las consecuencias pueden ser devastadoras simplemente si un empleado hace clic en un enlace malintencionado o si no actualiza su sistema", añade Andy Kays. "Por eso, es importante crear conciencia de los riesgos existentes en ciberseguridad a través de la formación periódica de los empleados, sobre todo si se trata de trabajadores a distancia, que pueden acceder a los servicios y datos corporativos desde múltiples dispositivos, ubicaciones y redes".
Además, las empresas podrían plantearse ofrecer sesiones periódicas con el departamento informático a las que los trabajadores lleven sus dispositivos móviles para aplicarles actualizaciones y comprobar su seguridad.
¿Su organización tiene alguna estrategia para mantener los datos a salvo fuera de la oficina?
4. Recuerde la seguridad visual
"En un mundo tecnológicamente avanzado, es fácil olvidarse de que hay formas poco tecnológicas a través de las cuales nos pueden robar los datos de la empresa", comenta Orlagh Kelly, abogado y director general de Briefed GDPR Training and Consultancy Specialists(5).
En un experimento llevado a cabo por 3M, un pirata informático infiltrado consiguió información confidencial simplemente "espiando por encima del hombro" (mirando a la pantalla) en el 88 % de los casos(6).
"Anime a sus empleados a que estén atentos a quién puede ver lo que están haciendo por encima del hombro cuando trabajen fuera de la oficina", dice Kelly. Puede plantearse aplicar filtros de privacidad que se colocan en la pantalla e impiden la visualización a quienes quieren mirar de reojo.
5. Conozca las limitaciones de la nube
Según un estudio de Ponemon Institute, los departamentos informáticos no administran ni controlan el 44 % de los datos corporativos almacenados en los entornos de nube. Como consecuencia, revela que el uso de los servicios en la nube puede multiplicar por tres las probabilidades de sufrir una filtración de datos de 20 millones de dólares(7).
"Es muy importante elegir al proveedor de nube adecuado", comenta Nigel Tozer. "Debe saber exactamente cómo se va a enfrentar a una filtración de datos, ya que la responsabilidad recae en ambas partes. Si todos los datos van a permanecer en la UE, el proveedor de nube debe asegurarse de mantenerlos con un método que cumpla con los requisitos legales. Además, debe asegurarse de que los datos que salgan de la UE se protejan correctamente según lo establecido en el GDPR".
Tozer señala que en lo referente al GDPR, aunque el proveedor de nube es el procesador de los datos, la empresa es quien los controla. "[Esto significa que] usted es responsable de comprobar las credenciales del proveedor y de asegurarse de que ofrece suficientes garantías para implementar las medidas de seguridad técnicas y organizacionales adecuadas que cumplan con el nuevo reglamento de la UE".
6. Respete la privacidad de sus empleados
Si actualmente utiliza herramientas o tecnologías para controlar la productividad de sus trabajadores a distancia, tendrá que plantearse cómo adaptar sus buenas intenciones para proteger su privacidad, afirma George Harris, consultor del GDPR para DMPC Ltd(8). "Es difícil de justificar [el control de los empleados] en un escenario empresarial estándar", comenta.
Conforme a las normas del GDPR, es complicado controlar los dispositivos de un empleado (a través de un registro de pulsación de tecla o de la tecnología de rastreo del ratón) sin infringir su derecho a la privacidad. Según el artículo 29 del GDPR de la parte trabajadora: "Las tecnologías que controlen las comunicaciones pueden […] tener un efecto intimidatorio en los derechos fundamentales de los empleados para organizarse, fijar reuniones con otros trabajadores y comunicarse con confidencialidad (incluido el derecho a buscar información)(9)".
7. Disponga de un plan de actuación ante la filtración de datos
"Una filtración de datos pueden ser un ataque de malware que afecte al portátil de una persona, un empleado que olvide el teléfono del trabajo en el tren, o el envío fortuito por correo electrónico de registros a un grupo utilizando la opción ‘cc’ en lugar de ‘bcc’", comenta James Walker, Director general de Jaw Consulting UK y especialista en ciberseguridad, protección de datos y privacidad(10).
Si bien el primer instinto que tenemos es poner en marcha procesos de control de daños, en virtud del GDPR, la urgencia es todavía mayor. "En caso de filtración de datos, la organización tiene 72 horas para notificar a las personas afectadas y a la autoridad supervisora relevante; además, debe incluir un análisis de las posibles consecuencias de la filtración y las medidas adoptadas o propuestas para mitigar sus efectos negativos", dice Walker.
¿Recuerda las multas del 4 % que hemos comentado? Es lo que está en juego si no cumple los requisitos. "Hay una excepción a este procedimiento de notificación detallado, y se da cuando puede demostrar que no es probable que la filtración ponga en riesgo los derechos y libertades de las personas físicas", comenta Walker. "Si demuestra que ha cifrado correctamente los datos, será más fácil y quizás ni siquiera tenga que informar de la filtración".
Fuentes:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
