De un tiempo a esta parte, el teletrabajo se ha convertido en una tendencia en alza, pero también se ha situado como un nuevo vector de ciberataques. Hay que gestionar adecuadamente la conexión con la organización y formar al personal en las normas y buenas prácticas necesarias para evitar incidentes. Todos tenemos que aprender a teletrabajar: los empleados, los jefes, los técnicos y los tecnólogos.
Recientemente se ha publicado el Real Decreto-ley 28/2020, que regula el trabajo a distancia y el teletrabajo, una ley que tiene especiales implicaciones en una gran cantidad de empresas debido a la popularización de este modelo de trabajo, forzada en muchos casos por la pandemia en la que estamos inmersos.
Este Real Decreto-ley considera imprescindible establecer las instrucciones necesarias para preservar a la empresa frente a posibles brechas de seguridad. En la actualidad, estos fallos en los sistemas de protección de las organizaciones representan unos costes económicos muy elevados, además de lo que suponen en cuanto a la reputación y la imagen de marca. En los casos más extremos, los daños causados por fallos de seguridad pueden desembocar en la desaparición de la compañía.
Otra de las variables que inciden en este escenario es la progresiva evolución hacia los modelos en la nube. Cada vez más empresas tienen sus servicios y sistemas distribuidos entre la cloud y sus instalaciones propias. Ya es normal que cualquier servicio que se preste permita la posibilidad de acceder a él en todo momento y lugar, e independientemente del dispositivo.
Teniendo en cuenta este contexto, las empresas están centrando cada vez más su estrategia en evitar todo tipo de incidentes de ciberseguridad y en preservar los datos, tanto los de sus clientes como los de su negocio.
Se trata de conseguir un entorno seguro y, a la vez, transparente para el usuario
Es tal la importancia de la ciberseguridad en la sociedad actual que el Real Decreto-ley 28/2020, en su capítulo IV, define de manera específica las facultades de organización, dirección y control empresarial en el trabajo a distancia, incluyendo la protección de datos, la seguridad de la información, el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, así como las instrucciones necesarias para preservar a la empresa frente a posibles brechas de seguridad.
Política corporativa
Antes de nada, es importante reseñar qué se entiende por teletrabajo o trabajo a distancia, concepto que, desde luego, no está relacionado con llevarse el trabajo a casa. Hablamos de aquella actividad laboral que se presta desde el domicilio del empleado o desde otro lugar elegido por este, durante toda su jornada o parte de ella, y con carácter regular. El teletrabajo se lleva a cabo mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación.
Para que este teletrabajo se desarrolle de forma segura, debe estar enmarcado dentro de un contrato específico que defina claramente cómo, cuándo y qué se va a realizar. En este acuerdo deben figurar, en lo que a ciberseguridad y protección de datos se refiere, los siguientes aspectos:
- Inventario de los medios, equipos y herramientas que exige el desarrollo del teletrabajo.
- Las instrucciones, dictadas por la empresa, en materia de protección de datos, específicamente aplicables al teletrabajo.
- Igualmente, las instrucciones sobre seguridad de la información.
- Las normas de uso de los dispositivos digitales que el empresario pone a disposición del empleado.
- El derecho a la desconexión digital.
Todo esto deberá estar reglado por una política corporativa fácilmente ejecutable, que los trabajadores tendrán que conocer y aceptar. Esta política deberá indicar las medidas de seguridad y tratamiento que, desde el punto de vista de los datos personales, se deben respetar y cumplir. La regulación interna contemplará aspectos tales como el modo en el que se va a realizar ese teletrabajo en relación con la seguridad en la conexión, qué documentos se pueden guardar en el equipo remoto y cuáles en los sistemas de la empresa, las copias de seguridad, etc. Además, debe especificar el uso aceptable de los dispositivos digitales, tanto el de los que provee la empresa como el de los personales.
Es muy importante que el equipamiento sea suministrado y gestionado por la propia empresa
También es muy importante indicar que la denominada “desconexión digital” debe estar claramente definida, con una clara delimitación de cuáles son los horarios de conexión y los períodos de descanso del trabajador, así como las circunstancias excepcionales en las que se puede contactar con el empleado fuera de su horario laboral.
Trabajo presencial o a distancia
Todo este escenario aboca también a una serie de cambios en el ámbito de la ciberseguridad. Por ejemplo, hay que incidir en la formación y concienciación de los empleados, para que los cada vez más abundantes ataques a través del correo electrónico sean detectados. Además, será necesario adoptar múltiples medidas de seguridad, de carácter tecnológico, para que la conexión y el acceso a los recursos, así como la propia realización del trabajo, se efectúen con toda seguridad.
Se trata de conseguir un entorno que sea seguro y, a la vez, transparente para el usuario. Como CISO, entre nuestras responsabilidades está la de configurar de forma correcta este cada vez más amplio mundo de la tecnología y los sistemas y servicios, con el objetivo de que los empleados puedan desarrollar correctamente su trabajo sin notar la diferencia entre trabajo presencial y teletrabajo.
Teletrabajo y riesgos
Es innegable que, con el teletrabajo, los riesgos en ciberseguridad se multiplican: los equipos informáticos pasan de estar en un entorno acotado y relativamente seguro a uno más inseguro y disperso. Además, a esto hay que añadir que el teletrabajador suele utilizar su equipo propio y la conexión a Internet de su domicilio para realizar su actividad. Otro riesgo importante es la fatiga informática del teletrabajador, causada por no separar su horario laboral de su vida personal, ya sea por decisión propia o forzado por la nueva situación.
Precisamente debido a todo esto, la normativa contempla que, en el acuerdo por escrito que debe establecerse obligatoriamente para regular esta modalidad de trabajo, se indiquen las instrucciones dictadas por la empresa en materia de protección de datos personales, sobre seguridad de la información, el equipamiento informático o el tipo de conexión que se van a utilizar. Desde el punto de vista de la ciberseguridad, es muy importante que el equipamiento sea suministrado y gestionado por la propia empresa, así como que la conexión, aunque sea la doméstica, esté protegida y monitorizada por la organización.