El trabajo desde casa ha pasado de ser un fenómeno minoritario en la empresa a ser una realidad cotidiana en un gran número de sectores. Las empresas, tras el estallido de la pandemia de COVID-19, se vieron obligadas a aparcar las reticencias que esta modalidad de trabajo les producía y a abrazarlo para poder continuar con su actividad. El trabajo remoto se convirtió en una tabla de salvación que permitió que muchos negocios continuasen abiertos y evitó pérdidas millonarias en muchas empresas.
Pero con la llegada del trabajo en remoto masivo no solo llegaron ventajas, sino que también se presentaron grandes desafíos. El trabajo desde un lugar distinto de la oficina habitual requiere de la adopción de estándares que garanticen unos niveles de seguridad similares a los del lugar de trabajo habitual y, en el caso de los datos, es indispensable que se adopten todas las medidas de seguridad necesarias para asegurar un correcto cumplimiento del Reglamento General de Protección de Datos (RGPD).
¿Cómo afecta el RGPD al trabajo desde casa?
Los empleados de una empresa no sólo son responsables de llevar a cabo una serie de tareas durante el día, sino que también lo son de gestionar todos aquellos datos personales a los que acceden como parte de sus actividades laborales. Independientemente de la ubicación del trabajador, el RGPD demanda que las medidas de seguridad que se adopten sean las necesarias para garantizar la seguridad de los datos y evitar cualquier tipo de brecha de seguridad.
Sin embargo, la gente que trabaja desde casa está más expuesta a amenazas que la gente que trabaja desde una oficina por diversas razones tales como el uso de sus propios dispositivos, el acceso que realizan a los datos de la empresa y el almacenamiento de datos.
Dispositivos propios
Los empleados que trabajan desde casa pueden caer en la tentación de usar sus propios dispositivos cuando trabajan desde casa (ordenadores portátiles, smartphones). Estos dispositivos pueden no contar con las medidas de seguridad necesarias que se exigen a los dispositivos que la empresa proporciona a sus empleados.
Esta falta de seguridad puede llevar a los datos personales que se proceses a una situación de riesgo que puede venir en forma de clics en enlaces sospechosos, apertura de documentos adjuntos infectados o la visita a webs inseguras. Detrás de cada una de estas acciones puede estar un hacker que acabe teniendo acceso a los datos personales gracias a la seguridad más laxa de los dispositivos de uso personal.
Otros riesgos derivados del uso de dispositivos propios es el acceso a datos en entornos personales. Los datos pueden ser visualizados en pantallas por personas no autorizadas o incluso compartidos por error en apps de mensajería. La mezcla de la esfera personal y profesional en la gestión de datos da lugar a un enorme riesgo para la seguridad e integridad de los datos.
Acceso y almacenamiento
Los trabajadores en remoto pueden no ser conscientes de la gran diferencia entre el acceso a datos desde la oficina y desde sus casas. Los datos son los mismos, pero pierden su integridad cuando son manejados sin las debidas salvaguardas. Otro problema es que los datos pueden sacados fuera de los sistemas de la empresa y almacenados en dispositivos privados del trabajador donde están en riesgo de acabar en manos de personas no autorizadas o incluso de ser borrados. Los empleados comparten sus viviendas con su familia o compañeros de piso y, aunque les pueda parecer perfectamente seguro, la realidad es que los datos pueden acabar fuera de su control.
El RGPD no hace distinciones entre las medidas de seguridad que se deben aplicar en la oficina o en casa. El nivel de seguridad debe ser el mismo independientemente de la ubicación y requiere que se adopten las medidas necesarias que permitan afrontar todos los riesgos a los que se expongan los datos.
Otro riesgo al que se exponen los trabajadores en remoto es la conexión a redes inseguras como wifis públicos o conexiones domésticas. Este tipo de conexiones no protegidas constituyen un riesgo para la seguridad.
¿Cómo mantener la seguridad cuando se trabaja en remoto?
En primer lugar, los empleados deben ser conscientes de sus responsabilidades a la hora de gestionar y proteger datos personales independientemente del lugar desde el que trabajen. Cuando los datos están en tránsito, como, por ejemplo, cuando van de un servidor a un ordenador doméstico, se debe garantizar que esos datos nunca están en una situación vulnerable. También cuando se almacenen en un disco duro.
En segundo lugar, las empresas deben recordar que el RGPD exige la adopción de las medidas de seguridad necesarias tales como el cifrado de datos. El cifrado es un método muy efectivo para mantener los datos seguros, especialmente ante una brecha de seguridad puesto que, aunque caigan en manos de personas no autorizadas, no podrán ser usados. La adopción del cifrado de datos es más sencilla en las oficinas de unas empresas, pero puede ser también usada cuando se trabaja en remoto.
En tercer lugar, el acceso a los datos de la empresa, bien sean datos de negocio o datos personales, debería estar controlado en todo momento con un sistema de trazabilidad que permita saber quién ha accedido a qué. Los empleados deben tener la capacidad de acceder solamente a aquellos datos que necesitan para el desempeño de sus tareas y nada más. Se deben adoptar políticas que minimicen en la medida de lo posible los privilegios de acceso de cada empleado y que segreguen el acceso a datos según las responsabilidades de cada uno. De esta manera se prevendrán en gran medida los riesgos de perdida de datos.
Además, las empresas deben facilitar a sus empleados el uso de conexiones VPN corporativas que cifran las comunicaciones que se realizan por internet entre dispositivos. De esta manera añadimos una capa más de seguridad que nos permite enviar y recibir datos de forma segura sobre una red haciendo muy difícil que puedan ser interceptados por personal no autorizado.
