La protección de datos y el trabajo móvil: ¿Dónde está el riesgo?
En cualquier empresa que se precie de hoy en día, vamos a encontrar dos factores de riesgo importantes que conviene tener en cuenta y no dejarlos pasar, éstos son el interno y el externo, con el consecuente aumento de riesgo a lo que se exponen a diario y que las compañías deberían mitigar.
La información como activo debe estar protegida, pues en toda organización existe un intercambio continuo entre miembros de la empresa, clientes, proveedores etc. Esta información de terceros, debe estar asegurada bajo controles eficaces. El acceso a los datos, debe asegurarse sólo para aquellas personas que cuenten con la autorización expresa, esto es la confidencialidad. Esa información se debe mantener sin manipulación, es decir debe tener integridad. Por último, debe estar disponible para el responsable o personas autorizadas, disponibilidad.
El generador de la información, debe someterse a la autenticación, es decir, que no exista suplantación de identidad. Al no repudio, no puede negar que lo ha enviado, y no repudio de destino, no puede decir que no lo ha recibido.
Para todos estos aspectos, la organización debe concretar unas políticas internas de actuación, que son ni más, ni menos, que unos procedimientos de actuación, con unos controles para supervisar el trabajo, cómo se está realizando o para reducir un impacto causado ya por alguna amenaza, y que se ha realizado debido a una vulnerabilidad de esa organización, por no haber previsto los protocolos.
La principal amenaza en la organización, está en ella misma, como es ya sabido, esta vendría bien por los propios empleados, que no estando autorizados acceden de forma indebida a los datos, muchas veces por desconocimiento, pensando que no suponen riesgo alguno para la empresa para la cual trabajan. De ahí la importancia de sentar unas bases de trabajo, el desconocimiento de los empleados no exime del cumplimiento de proteger los datos, en otras ocasiones se han dado casos, de acciones intencionadas.
Lo primero que se debe realizar es un análisis de riesgos, donde se deben plasmar el nivel de peligrosidad de forma taxativa. Estos riesgos incluyen las actuaciones dentro de la empresa y fuera.
¿Qué sucede con aquellos empleados que utilizan de forma sistemática dispositivos de trabajo fuera de la empresa? ¿Cómo analizamos el riesgo cuando trabajan desde casa?
Para ello vamos a valorar, primero, el nivel de tecnología con el que trabaja la organización como es, la autenticación, autorización, gestión de los sistemas, auditoría, log’s y duración o persistencia de los datos.
La protección se nos escapa cuando tratamos con empleados que ejercen su trabajo fuera de la empresa, aquí es prácticamente imposible tener este control por parte de la empresa hacia sus trabajadores. Podemos minimizar el riesgo mediante el uso de VPN de forma continua en los móviles y equipos portátiles. Mitigar las posibles amenazas con soluciones endpoint, implantadas también en los teléfonos y ordenadores y para proteger nuestras comunicaciones de voz IP utilizaremos contraseñas fuertes, certificados y sistemas de no repudio e identificación tanto en los servidores como en los terminales. En el caso de softphones podemos utilizar VPN para mayor seguridad.
El trabajador que continua su jornada laboral en casa, por ejemplo, un comercial, o un autónomo, pueden tener más vulnerabilidades frente a malware al no estar protegidos por los sistemas de seguridad en el entorno empresarial, un ransomware puede encriptar el ordenador portátil o el teléfono para posteriormente solicitar un pago o extorsionarnos con la posibilidad de hacer público el contenido del disco duro, robar nuestras claves de acceso a distintos servicios o el número de nuestra tarjeta de crédito.
La mayoría de las empresas admite que incumple el RGPD, por desconocimiento, por falta de tiempo… pero las consecuencias pueden ser graves, a nivel jurídico, a nivel económico, y de reputación empresarial.
Las recomendaciones de este articulo son necesarias para cualquier empresa o autónomo y deben ser utilizadas en todo momento.
El responsable o el delegado de protección de datos, debe tener los conocimientos necesarios para aplicar, mantener y gestionar, los procedimientos de seguridad informática en la empresa, al estar la mayoría de los datos informatizados, la protección de la información requiere de conocimientos informáticos.